Beiträge von TheFan1968

Zitat von Berichtigung

Und den DUP habe ich auf deinem Blog gefunden. Für jemanden der als Wissensstand "Profi" angibt, eher peinlich.
Es war auch nicht das Thema. Ich schrieb es nur am Rande...

Naja, wenn es zur Nettiquette gehört, jemanden dauernd herabzuwürdigen, dann möchte ich hier lieber nicht mehr schreiben.

Zitat von Berichtigung

Du kannst beliebig viel Mist aus irgendwelchen Blogs abschreiben.
Es richtig machen, dadurch dass man es lernt und versteht, was man da tut, ist sinnvoller.
Natürlich kannst du das mit _default_ reinschreiben.
Was passiert, wenn jemand via IP oder anderem FQDN zugreift?

Bei deinem Beruf eigentlich ein "must".

btw.: Falls du mal wieder einen DUP machen möchtest:

Bash

sed -i 's/42\.1/42.2/g' /etc/zypp/repos.d/* && zypper clean -a && zypper dup

Alles anzeigen

Mehrere Dinge:
Ich habe den Artikel zu voller Länge gelesen und da auch im Standard-vhots-ssl-tamplate von openSuse _default_ drin steht, ist das zumindest kein Grund dafür, dass es nicht funktionieren könnte. Zuviele gleichzeitge Änderungen in einem Skript führen dazu, dass man hinterher nicht mehr weiß, welche falsch ist.
Solltest du bei deinem Beruf eigentlich auch wissen.

Was hat das mit dem DUP hier zu suchen? Das ist hier mal off-topic und nicht mein Fokus.

Ich habe mein Problem gelöst.
Keiner deiner Tipps war dabei hilfreich, sondern das Lesen von anderen Seiten, mal was ausprobieren, das Ergebnis ansehen und weitersuchen.

Keine Änderung.

Die __default_-Kombintasion scheint aber durchaus drin zu sein: LetsEncrypt on openSUSE Leap

Ich probiere es mal mit dem Auskommentieren und anschließend mit einer gesetzten Domain. Under fullchain.pem

Bitteschön:

# Template for a VirtualHost with SSL
# Note: to use the template, rename it to /etc/apache2/vhost.d/yourvhost.conf.
# Files must have the .conf suffix to be loaded.
#
# See /usr/share/doc/packages/apache2/README.QUICKSTART for further hints
# about virtual hosts.


# NameVirtualHost statements should be added to /etc/apache2/listen.conf.


#
# This is the Apache server configuration file providing SSL support.
# It contains the configuration directives to instruct the server how to
# serve pages over an https connection. For detailing information about these
# directives see http://httpd.apache.org/docs/2.4/mod/mod_ssl.html
#
# Do NOT simply read the instructions in here without understanding
# what they do.  They're here only as hints or reminders.  If you are unsure
# consult the online docs. You have been warned.
#


<IfDefine SSL>
<IfDefine !NOSSL>


##
## SSL Virtual Host Context
##
##
## SSL Virtual Host Context
##


<VirtualHost _default_:443>


        #  General setup for the virtual host
        DocumentRoot "/srv/www/vhosts/ehtab"
        ServerName www.eishockeytabelle.de:443
        ServerAdmin eishockeytabelle@skritptbu.de
        ErrorLog /var/log/apache2/ehtab_error_log
        TransferLog /var/log/apache2/ehtab_access_log


        #   SSL Engine Switch:
        #   Enable/Disable SSL for this virtual host.
        SSLEngine on


        #   You can use per vhost certificates if SNI is supported.
        SSLCertificateFile /etc/certbot/live/eishockeytabelle.de/cert.pem
        SSLCertificateKeyFile /etc/certbot/live/eishockeytabelle.de/privkey.pem
        #SSLCertificateChainFile /etc/apache2/ssl.crt/vhost-example-chain.crt


        #   Per-Server Logging:
        #   The home of a custom SSL log file. Use this when you want a
        #   compact non-error SSL logfile on a virtual host basis.
        CustomLog /var/log/apache2/ssl_request_log   ssl_combined


</VirtualHost>


</IfDefine>
</IfDefine>

Zitat von Sauerland

Firewall mal deaktivieren, gehts dann?

Wenn du an der config vom Indianer rumgefummelt hast, Indianer neu gestartet?

Ohne Firewall zeigt nmap folgendes Ergebnis:

Host is up (0.030s latency).
Not shown: 990 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   filtered smtp
80/tcp   open     http
110/tcp  open     pop3
143/tcp  open     imap
465/tcp  filtered smtps
587/tcp  filtered submission
993/tcp  open     imaps
995/tcp  open     pop3s
3306/tcp open     mysql

Port 80 nach wie vor erreichbar.

Ja, der Indianer wird nach jeder Bearbeitung neu gestartet.

Inzwischen habe ich auch mal die beiden vordefiniierten Regeln für http und https aus der Firewall gelöscht und explizit die Ports 443 und 80 als offen definiert.
Das Ergebnis war dann wieder ein offener Port 80 und ein closed 443.

Da bin ich nun echt ratlos.

Der SSL-Port 443 ist in der internen und natürlich der externen Zone freigegeben und über Port 80 ist der Server auch erreichbar, also sitzt der auch wo er hingehört.

Nun. Es wäre schön, wenn es so einfach funktionieren würde..
Ich habe die Konfiguration so auch angelegt, aber der Server verweigert die Verbindung

Der Port 443 ist closed, sagt nmap

Starting Nmap 6.47 ( http://nmap.org ) at 2017-06-16 09:07 CEST
Nmap scan report for - (91.205.173.87)
Host is up (0.032s latency).
Not shown: 992 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  closed https
993/tcp  open   imaps
995/tcp  open   pop3s
3306/tcp open   mysql

Und ja, in der Firewall, die auch aktiv ist, ist HTTPS als erlaubter Service eingetragen.

Der Server ist erreichbar, aber eben nicht über https.

Was können, außer der Firewall, Ursachen dafür sein?

authz_host actions alias authn_file authz_groupfile auth_basic
 authz_user autoindex cgi dir include log_config mime negotiation
 setenvif status asis headers imagemap info rewrite vhost_alias
 reqtimeout authn_core socache_shmcb socache authz_core nss php
 version tidy ssl

Hallo zusammen!

Man hat ja oft so viele Talente, aber meins endet bei dem Versuch einen Webserver mittels certbot mit der Fähigkeit von https zu versehen.

Gegeben ist ein Server mit openSuse Leap 42.2 und einem apache2 Webserver.

Der Webserver wurde, da ich schon einige Zeit da herumprobiere, komplett neu und lupenrein leer neu aufgesetzt.
Alle Konfigurationsdateien sind also im Ur-Zustand nach der Installation.

Die Firewall lässt Verbindungen mit HTTPS zu.

Die mit certbot erstellten Zertifikate liegen auch vor.

- Congratulations! Your certificate and chain have been saved at
   /etc/certbot/live/meineDomain.de/fullchain.pem. Your cert will
   expire on 2017-09-13. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"

Was ist jetzt noch zu tun?

Ich bin ehrlich gesagt, je länger ich suche, immer ratloser, zumal sich die apache2-Konfiguration ja bei openSuse auch über eine gefühlte Million Dateien erstreckt.
Wer kann mich auf den richtigen Weg schubsen?

Gruß, Pete

Zitat von Sauerland

Dann kannste das auch löschen, macht dann gar keine Probleme mehr. Und ein zypper up ist schnell abgesetzt.

Wenn ich das Lösche ist die Problematik, das andere Pakete das als Abhängigkeit mitbringen aber nocht behoben... und schwupps kommt es wieder an Bord.
Besser wäre es funktioniert einfach so wie es soll.

Wennich alle zickenden Pakete von openSUSe gleich löschen würde, wäre nichts mehr da...