nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)


  • Der Login und Versand klappt aber es kommt jetzt diese Fehlermeldung bei meinen Kunden:

    Code
    Der Mail-Server reagiert nicht. Überprüfen Sie, dass Sie in den Mail-Einstellungen die richtigen Accountinfos eingegeben haben.


    ... echt eigenartig...

  • Hallo Kollegen,


    ich bin grade auch mal dabei auf SSL umzustellen. Ich weiß nicht, ob ich zu blöd bin oder woran es bei mir scheitert. Folgendes habe ich gemacht...:


    [list=1]
    [*]Zertifikate erstellt wie hier beschrieben: Sichere Verbindung zu PD-Admin per SSL
    [*]von /root/ nach /opt/pdadmin/sslcerts/ kopiert und in servername srv-pdadmin.crt | .csr | .key umbenannt
    [*]/opt/pdadmin/bin/httpd_vhosts.pl ohne Fehler ausgeführt
    [*]/usr/local/pd-admin2/conf/httpd.conf-template wie zu Beginn beschrieben angepasst
    [*]Apache neugestartet
    [/list=1]


    Beim ausführen von ci-ssl-install.sh kommt folgender Fehler:
    /opt/pdadmin/sslcerts/srv-pdadmin-key not found
    usage: ./ci-ssl-install.sh <hostname>


    Es klappt nicht. Ich bekomme wie eh und je die Standard Fehler-Page
    Fehler: Gesicherte Verbindung fehlgeschlagen


    Die Verbindung zu srv-pdadmin wurde unterbrochen, während die Seite geladen wurde.


    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.



    Was mache ich falsch?

  • zertifikate müssen heißen:
    wenn deine serverdomain: test.deinedomain.de
    auch so heißen:
    test.deinedomain.de-key bzw. test.deinedomain.de-cert usw.


    sprich hostname-key hostname-cert, hostname-cacert

  • Hey,


    danke für die Antworten. Ich habe anhand des Posts unter 1. lediglich die Zertifikate erstellt. Nun habe ich sie wie beschrieben umbenannt ohne Endung .crt usw. in srv-pdadmin-cert usw.


    Nach den ausführen der httpd_vhosts.pl und der runtergeladenen ci-ssl-install.sh hat der Server endlich etwas gemacht.


    Allerdings ist nun pd-admin weder über Port 80 noch über Port 443 erreichbar, nämlich gar nicht mehr.


    Der Teil, der in die httpd.conf-template eingetragen werden muss, muss der das vorhandene überschreiben oder zusätzlich eingefügt werden? Und gibt es eine bestimmte Position in der Datei, wo es hin muss? Derzeit habe ich ihn nur unten angefügt...

  • Wenn ich das hier richtig gelesen habe brauchst du keine Eintragung in der httpd.conf-template zu machen, da die Änderung ob PDAdmin nun über http oder https zu erreichen ist vom Aufruf der httpd_vhost.pl erledigt wird, wenn du die Zertifikatsdateien in /opt/pdadmin/sslcerts/kopiert hast.


    Was ich aber noch nicht verstanden habe ist wie man jetzt ein privates Zertifikat erstellt mit diesen Namen xx.meinpdadmin.domain-key, xx.meinpdadmin.domain-cert, xx.meinpdadmin.domain-cacert.


    Oder anders gefragt, welches dieser Files .key, .crt, .csr ist nun was ?

  • erklärt es sich den nicht von selbst?


    bin zwar kein experte, aber auch die privat von mir erstelte zertifikate haben
    cacert, das ist so zu sagen der oberste zertifikat, womit man alle andere signiert
    key ist halt key ;)
    und cert ist das eigentliche certifikat für die subdomain
    beim generieren gibt man ja immer an was wo raus kommen soll und auch wohin, die kann man ja auch nachträglich umbennen wie man die braucht

  • Also ich habe die Einträge aus der template Datei wieder entfernt und dann die httpd_vhost.pl nch mal ausgeführt und dann bekomme ich folgenden Fehler:

    Code
    root@srv-pdadmin:~# /opt/pdadmin/bin/httpd_vhosts.pl
    Writing /usr/local/pd-admin2/conf/httpd.conf
    (98)Address already in use: make_sock: could not bind to address [::]:80
    (98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
    no listening sockets available, shutting down
    Unable to open logs
    httpd not running, trying to start


    Bezüglich der Zertifikate habe ich auch gezweifelt. Ich habe nun .crt in host-cert, .key in host-key und .csr in host-cacert geändert. Was soll csr sonst sein? Bin auch totaler newbie in Sachen Zertifikaten.

  • So wie es aussieht habe ich mir nun meinen Server selber geschossen indem ich die Dateien in /opt/pdadmin/sslcerts/ kopiert habe und die httpd_vhost.pl ausgeführt habe.
    Ein entfernen der Dateien aus selbigen Verzeichnis brachte keine Änderung, der Apache läuft nicht mehr.


    Das steht nun inder error.log drin


    [Mon May 25 15:04:47 2015] [error] (28)No space left on device: Cannot create SSLMutex
    Configuration Failed

    • Offizieller Beitrag

    Also


    19Marc82:
    Die .csr brauchst Du gar nicht, die ist nur für den Request interessant. Normalerweise reichen host-cert und host-key.
    host-cacert (CA-Zertifikat) ist eine Beschreibung des Zertifikates.
    Dieses ist nicht der csr, sondern wird Dir vom Herausgeber des Zertifikates gestellt.


    Tealc:
    Wenn da "no space left" steht, hast Du mal df . gemacht und geschaut, ob das Laufwerk voll ist?

  • Code
    Dateisystem          1K‐Blöcke   Benutzt   Verfügbar   Ben%   Eingehängt auf
    /dev/sda3                  476303504   9617588   442491096     3%   /
    tmpfs                        1939044         0     1939044     0%   /lib/init/rw
    udev                         1934468       100     1934368     1%   /dev
    tmpfs                        1939044         4     1939040     1%   /dev/shm
    /dev/sda1                     472832     35551      412867     8%   /boot


    So sieht es aus bei df.


    Die Errormeldung ist nur in der Apache error.log und kommt auch erst seit ich die Zertifikatsdateien aus dem Verzeichnis /opt/pdadmin/sslcerts/ entfernt habe.

  • Zum Glück habe ich vor der Änderung ein Backup vom Ordner pdadmin2 gemacht, nach stoppen der Dienste und umbenennen des Ordners pdadmin2.bak in pdadmin2 und reboot des Servers läuft er wieder normal.


    @Eisen die 3% stehen unter Ben das bedeutet benutzter Speicher nicht freier Speicher

  • So, ich habe jetzt eine andere Anleitung gefunden und es nochmal ganz frisch installiert. Hier ein Auszug aus meiner History, wie ich es gemacht habe:



    Gibt es da irgendwelche Einwände oder Mängel? Ich habe keine Ahnung was die ganzen Optionen bei openssl bedeuten, aber so läuft es jedenfalls.

  • Was sagt ihr zu meinem letzten Post - ist der so i.O.?


    Darüber hinaus habe ich folgende Frage:
    Wenn ich mir ein Zertifikat kaufe, bspw. bei RapidSSL über sslmarket.de für 35 € für 3 Jahre. PD-Admin ist per s1.domain.tld erreichbar. Wenn ich ein Zertifikat auf s1.meineHauptDmain.de kaufe und den Kunden nur diese kommuniziere, reicht das?


    Wie habt ihr das gemacht? Was macht am meisten Sinn? Wildcard ist leider zu teuer. Wie sieht das ganze bei euch aus?

  • die müssen wenn die sich verschlüsselt am server anmelden wollen das so benutzen
    das muss du dann denen bei bringen
    also ein singel zert für die eine subdomain, was auch der hostname des servers ist, ist ausreichend


    gebe unseren kunden daten auch so weiter für verschhlüsselte vernbindung zum mail server, oder auch die pd-admin admin oberfläche, die ist ja dann auch über SSL zu erreichen und roundcube usw
    an der stelle zwinge ich die domain nur über SSL abrufbar ist

  • Also meinst du ich soll ein Zertifikat auf den Hostnamen (j086.jade.fastwebserver.de) ausstellen, damit jeder über seine s1.domain.tld abrufen kann? Oder verstehe ich das falsch?