[Eisfair] Probleme mit apache und den Zertifikaten

Do Sep 21 13:32:28 CEST 2017

Hallo Marcus,
...
>> im Logfile vom Indianer (wird _NUR_ intern genutzt - von aussen nicht
>> erreichbar) finde ich permanent
>>
>> ...
<snip>
>> ...
> 
> Vielleicht bin ich blind, aber ich finde daran erstmal nichts auffälliges.

das war nachdem ich ALLE at-jobs habe löschen lassen und dann rebootet 
habe.

ich hatte vorher 7964 Anfragen nach crl.pem innerhalb von exakt 10 
Stunden (gezählte Zeilen im log); das finde ich schon auffällig, vor 
allem da mein Indianer gar kein https nutzt...

>> laut certs-update-crl.log
>> ...
>> Sep 20 20:37:00 barbrady certs-update-crl[20071]:
>> /var/install/bin/certs-update-
>> crl --quiet --single http://barbrady.southpark.lan/certs/crl.pem
>> Sep 20 20:37:00 barbrady certs-update-crl[20071]: - downloading
>> 'http://barbrady
>> .southpark.lan/certs/crl.pem' ...
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - file
>> 'http://barbrady.southp
>> ark.lan/certs/crl.pem' download failed!
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - CRL file 'crl.pem'
>> doesn't e
>> xist, force download!
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: - job '161542'
>> (2017-09-19 20:
>> 40->2017-09-20 20:40) created.
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]:   url:
>> http://barbrady.southpa
>> rk.lan/certs/crl.pem
>> Sep 20 20:37:02 barbrady certs-update-crl[20071]: finished.
>> ...
> 
> Existiert /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem

barbrady # cd /var/certs/ssl/crl
barbrady # ls -la barb*
-rw-r--r-- 1 root root 482 Sep 12 10:07 barbrady.southpark.lan-crl.der
-rw-r--r-- 1 root root 703 Sep 12 10:07 barbrady.southpark.lan-crl.pem
barbrady #

> Ist das vielleicht abgelaufen?
> 

Certificate generation

Parameters
   1 - change/set certificate type: ca
   = - change/set certificate name: ca

Certificate Authority (CA) (sha384) (2048bits)
   3 - [✓] create a CA key
   4 - [✓] create a self-signed CA certificate (valid until: 24.05.2024)
   5 - [✓] create .pem CA certificate and copy it to /usr/local/ssl/certs
   6 - show CA key and certificate file location
   7 - revoke a certificate
   8 - update revocation list (valid until: 10.09.2027 10:07h)

Please select (1,3-8), change (b)its/(h)ash, (e)mail certs, (q)uit?

die CRL habe ich vor ein paar Tagen nach Deiner Anleitung (wiki) erst 
generiert...

> 
>> barbrady _IST_ die 192.168.6.7 von oben
>>
>> barbrady # pwd
>> /var/www/certs
>> barbrady # ls -la
>> total 16
>> drwxr-xr-x 2 root   root    4096 Sep 20 20:04 .
>> drwxr-xr-x 9 root   root    4096 Sep 20 20:07 ..
>> lrwxrwxrwx 1 root   root      27 Sep  4 19:47 ca.crt ->
>> /var/certs/ssl/certs/ca.pem
>> lrwxrwxrwx 1 root   root      27 Sep  4 19:47 ca.pem ->
>> /var/certs/ssl/certs/ca.pem
>> lrwxrwxrwx 1 root   root      49 Sep 20 20:04 crl.pem ->
>> /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem
>> lrwxrwxrwx 1 root   root      34 Sep  4 19:47 index.html ->
>> /var/certs/ssl/web/x509policy.html
>> -rw-r--r-- 1 wwwrun nogroup 3291 Jan  7  2008 openssl_logo.png
>> -rw-r--r-- 1 wwwrun nogroup 1139 Jan 26  2015 x509policy.html
>> barbrady #
>>
>> also ist die Datei zwar da, aber der Indianer darf wegen root:root wohl
>> nicht drauf zugreifen;
> 
> Ist das Ziel da?

barbrady # ls -la barb*
-rw-r--r-- 1 root root 482 Sep 12 10:07 barbrady.southpark.lan-crl.der
-rw-r--r-- 1 root root 703 Sep 12 10:07 barbrady.southpark.lan-crl.pem
barbrady #

> lrwxrwxrwx 1 root   root      49 Sep 20 20:04 crl.pem ->
> /var/certs/ssl/crl/barbrady.southpark.lan-crl.pem
> 
> Nein root.root ist ok, da Link, der die Rechte 0777 besitzt.

stimmt

Was mich so irritiert: das ganze Zertifikats-"gedöns" brauche ich doch 
eigentlich nur für das Mail-Paket. Warum wird der Indianer nach der CRL 
gefragt? Was wäre, wenn ich gar keinen Indianer am laufen hätte?

Ich stehe hier völlig auf dem Schlauch!

Groetjes
Stefan