seid Neustem lässt sich unsere Schulkonsole nicht mehr öffnen (Ubuntu-Client). Der Firefox zeigt:
“Gesicherte Verbindung fehlgeschlagen” und als Error Code: SSL_ERROR_RX_RECORD_TOO_LONG.
Leider brachte ein Update des Clients nicht den gewünschten Erfolg.
Muss das Zertifikat erneuert werden?
was da schief läuft, kannst Du vom client aus überprüfen, indem Du eingibst:
openssl s_client -connect 10.16.1.1:443
Brich dann ab (control-c).
Die Ausgabe zeigt Dir, ob Dein zertifikat gültig ist und viele weitere Informationen (Inhaber des Zertifikates, Selbstsignierung ja/nein, weitere Probleme):
Bei uns:
CONNECTED(00000003)
depth=0 C = DE, ST = NRW, L = Rheindahlen, O = GymnasiumRheindahlen, OU = linuxmuster.net, CN = server.linuxmuster-net.lokal, emailAddress = administrator@linuxmuster-net.lokal
verify error:num=18:self signed certificate
verify return:1
depth=0 C = DE, ST = NRW, L = Rheindahlen, O = GymnasiumRheindahlen, OU = linuxmuster.net, CN = server.linuxmuster-net.lokal, emailAddress = administrator@linuxmuster-net.lokal
verify return:1
—
Certificate chain
0 s:/C=DE/ST=NRW/L=Rheindahlen/O=GymnasiumRheindahlen/OU=linuxmuster.net/CN=server.linuxmuster-net.lokal/emailAddress=administrator@linuxmuster-net.lokal
i:/C=DE/ST=NRW/L=Rheindahlen/O=GymnasiumRheindahlen/OU=linuxmuster.net/CN=server.linuxmuster-net.lokal/emailAddress=administrator@linuxmuster-net.lokal
—
Server certificate
-----BEGIN CERTIFICATE-----
MIIDAzCCAmwCCQD9lrOmDJC0qTANBgkqhkiG9w0BAQUFADCBxTELMAkGA1UEBhMC
REUxDDAKBgNVBAgMA05SVzEUMBIGA1UEBwwLUmhlaW5kYWhsZW4xHTAbBgNVBAoM
FEd5bW5hc2l1bVJoZWluZGFobGVuMRgwFgYDVQQLDA9saW51eG11c3Rlci5uZXQx
blabla
nwcrKpy8d1g6JSwv5naXuXHh8E+oMoATqk6WuHgPig0s5GT8WZ8quie7v8KIBj9f
CUrhCqAfHmnifK1ze2NS3EAM8zgFKvSd3pIV7Vr065tFvFryNuPp6a9agWQH9VtP
qFy9SHEi3w==
-----END CERTIFICATE-----
subject=/C=DE/ST=NRW/L=Rheindahlen/O=GymnasiumRheindahlen/OU=linuxmuster.net/CN=server.linuxmuster-net.lokal/emailAddress=administrator@linuxmuster-net.lokal
issuer=/C=DE/ST=NRW/L=Rheindahlen/O=GymnasiumRheindahlen/OU=linuxmuster.net/CN=server.linuxmuster-net.lokal/emailAddress=administrator@linuxmuster-net.lokal
---
No client certificate CA names sent
---
SSL handshake has read 1338 bytes and written 421 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 3C8A535D40FF661306E1CAC0A9717FB769556E0C1DC3464F8878ABF09F9424F3
Session-ID-ctx:
Master-Key: 31CE746BA9579100FD1CFD21B56934DC8FD879DC340547979430491C82E9C769040518E7780695FA53FF4291D61A3568
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - da fd b6 9b 12 12 7f ad-a7 d7 68 a4 c7 b2 87 b3 ..........h.....
0010 - 41 5f 1e 9b 75 8f 79 61-20 01 83 08 c6 a3 a7 f9 A_..u.ya .......
0020 - b4 e6 00 c5 31 7f 5a 1e-c5 ba 2a 38 cc 68 6d 50 ....1.Z...*8.hmP
blabla
00b0 - 45 e4 ab f5 fe 98 ee 97-9b 27 59 d9 66 a9 dc 7e E........'Y.f..~
Start Time: 1493458969
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
Ich habe jetzt den Befehl wie angegeben ausgeführt mit dem folgendem Ergebnis:
[linuxadmin@rlz-pcf2 ~]$ openssl s_client -connect 10.16.1.1:443
CONNECTED(00000003)
depth=0 C = DE, ST = BW, L = Freiamt, O = SZ-Freiamt, OU = linuxmuster.net, CN = server.schule.lokal, emailAddress = administrator@schule.lokal
verify error:num=18:self signed certificate
verify return:1
depth=0 C = DE, ST = BW, L = Freiamt, O = SZ-Freiamt, OU = linuxmuster.net, CN = server.schule.lokal, emailAddress = administrator@schule.lokal
verify return:1
die Fehlermeldung des Firefox ist in den meisten Fällen irreführend, die häufigste Ursache für die Meldung ist, dass Firefox Https-Daten erwartet, aber HTTP-Daten ankommen. Weiterer Ansatzpunkt ist die Host-Konfiguration des Apache.
Probier mal, die Schulkonsole mal mit und mal ohne “s” aufzurufen.
Hast Du den an der Apache-Konfiguration was verändert?
Schau doch bitte mal in /etc/apache2/sites-enabled, welche Host-Konfigurationen aktiv sind (dort sind ein paar symbolische Links) und poste dann die entsprechenden Konfigurationsdateien (also die Dateien, auf die diese Links zeigen).