Hallo zusammen, diverse Nachtschichten mit lesen und testen später...
Status:
Habe die Box nochmal neu aufgesetzt, jetzt mit Apache und OpenSSL im Image. Apache läuft auf der FritzBox, ist von innen (port 90 und 453 und aussen Port 10080 und 100443 zu erreichen. yey. Braucht auch keinen noexec Patch.
http:// funktioniert. Aber https:// nicht. Ich habe ein SSL Wildcard Zertifikat, das zur Domain paßt. Aber:
curl
https://domain.de:10443 -vs
* Trying 192.168.188.4:10443...
* Connected to domain.de (192.168.188.4) port 10443 (#0)
* ALPN: offers h2
* ALPN: offers http/1.1
* TLSv1.0 (OUT), TLS header, Certificate Status (22):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Certificate Status (22):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS header, Finished (20):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.2 (IN), TLS header, Supplemental data (23):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (OUT), TLS header, Unknown (21):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
Das zugehörige Log weist in die gleiche Richtung: SSL alert number 48 - findet den Weg zu einer trusted CA nicht.
[Mon Aug 08 16:45:14.183898 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: SSLv3/TLS read client hello
[Mon Aug 08 16:45:14.199713 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: SSLv3/TLS write server hello
[Mon Aug 08 16:45:14.204904 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: SSLv3/TLS write change cipher spec
[Mon Aug 08 16:45:14.205653 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: TLSv1.3 write encrypted extensions
[Mon Aug 08 16:45:14.212273 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: SSLv3/TLS write certificate
[Mon Aug 08 16:45:14.500431 2022] [core:trace4] [pid 5457:tid 16277504] mpm_common.c(540): mpm child 5579 (gen 0/slot 3) started
[Mon Aug 08 16:45:14.506831 2022] [watchdog:debug] [pid 5579:tid 16277504] mod_watchdog.c(583): AH02981: Watchdog: Created child worker thread (_proxy_hcheck_).
[Mon Aug 08 16:45:14.508661 2022] [proxy:debug] [pid 5579:tid 16277504] proxy_util.c(2125): AH00925: initializing worker proxy:reverse shared
[Mon Aug 08 16:45:14.509104 2022] [proxy:debug] [pid 5579:tid 16277504] proxy_util.c(2185): AH00927: initializing worker proxy:reverse local
[Mon Aug 08 16:45:14.509604 2022] [proxy:debug] [pid 5579:tid 16277504] proxy_util.c(2217): AH00930: initialized pool in child 5579 for (*:80) min=0 max=25 smax=25
[Mon Aug 08 16:45:14.628928 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: TLSv1.3 write server certificate verify
[Mon Aug 08 16:45:14.629508 2022] [ssl:trace6] [pid 5463:tid 1994535824] ssl_engine_io.c(219): [client 192.168.188.200:52027] bio_filter_out_write: 3324 bytes
[Mon Aug 08 16:45:14.629617 2022] [ssl:trace4] [pid 5463:tid 1994535824] ssl_engine_io.c(2406): [client 192.168.188.200:52027] OpenSSL: write 3324/3324 bytes to BIO#10960d0 [mem: 10db210]
[Mon Aug 08 16:45:14.629675 2022] [ssl:trace6] [pid 5463:tid 1994535824] ssl_engine_io.c(156): [client 192.168.188.200:52027] bio_filter_out_write: flush
[Mon Aug 08 16:45:14.630375 2022] [core:trace6] [pid 5463:tid 1994535824] core_filters.c(830): [client 192.168.188.200:52027] writev_nonblocking: 3324/3324
[Mon Aug 08 16:45:14.631606 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: SSLv3/TLS write finished
[Mon Aug 08 16:45:14.631709 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2215): [client 192.168.188.200:52027] OpenSSL: Loop: TLSv1.3 early data
[Mon Aug 08 16:45:14.688907 2022] [ssl:trace4] [pid 5463:tid 1994535824] ssl_engine_io.c(2406): [client 192.168.188.200:52027] OpenSSL: read 5/5 bytes from BIO#10cc828 [mem: 10de2d3]
[Mon Aug 08 16:45:14.689114 2022] [ssl:trace4] [pid 5463:tid 1994535824] ssl_engine_io.c(2406): [client 192.168.188.200:52027] OpenSSL: read 2/2 bytes from BIO#10cc828 [mem: 10de2d8]
[Mon Aug 08 16:45:14.689180 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2220): [client 192.168.188.200:52027] OpenSSL: Read: TLSv1.3 early data
[Mon Aug 08 16:45:14.689288 2022] [ssl:trace3] [pid 5463:tid 1994535824] ssl_engine_kernel.c(2244): [client 192.168.188.200:52027] OpenSSL: Exit: error in error
[Mon Aug 08 16:45:14.689352 2022] [ssl:info] [pid 5463:tid 1994535824] [client 192.168.188.200:52027] AH02008: SSL library error 1 in handshake (server domain.de:453)
[Mon Aug 08 16:45:14.689631 2022] [ssl:info] [pid 5463:tid 1994535824] SSL Library Error: error:14094418:lib(20):func(148):reason(1048) (SSL alert number 48)
[Mon Aug 08 16:45:14.689701 2022] [ssl:info] [pid 5463:tid 1994535824] [client 192.168.188.200:52027] AH01998: Connection closed to child 0 with abortive shutdown (server domain:453)
Meine Fragen:
gehe ich recht in der Annahme, daß das die CA in
/mod/etc/ssl/certs/ca-bundle.crt
liegt? Welches auf
/etc/ssl/certs/ca-bundle.crt
zeigt...
Ein Test mit
openssl verify /etc/ssl/certs/ca-bundle.crt
gibt
C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
error 18 at 0 depth lookup: self signed certificate
error /etc/ssl/certs/ca-bundle.crt: verification failed
-> das würe passen.
Wenn das so ist
- wie kopiert man da hin, ohne die Box zu instabilisieren?
- woher eine ca-bundle.ctr nehmen, die funktioniert? Eine testweise kopierte ca-bundle.ctr von einer Pi funktioniert nicht
- wie startet man Openssl neu. ohne die Box zu instabilisieren? Für den Fall daß die neue ca-bundle beim Start eingelesen wird...
- Oder könnte man die /etc/ssl/openssl.cnf ändern / überkopieren, die ja auch im TFFS liegt? Das müßte aber vor dem Start von openssl geschehen...
cat /var/media/ftp/ssd120gb/openssl.cnf > /etc/ssl/openssl.cnf tut nicht...
(Und nein, ich bin dazu aus der Forums-Recherche nicht schlauer geworden)
Danke für jeden Input ...