Probleme mit Apache2 und SSL bzw getssl

Hallo zusammen,

Umgebung ist ein Ubuntu 14.04 LTS mit Apache2

Ich habe dort verschiedene Webseiten am laufen, unter anderem www.xt-foren.de
Mein Ziel ist es, alle dort verfügbaren Webseiten auf SSL Verschlüsselung umzustellen.

Nun habe ich ein Problem.
Auf xt-foren.de läuft auch ein Forum, welches unter http://www.xt-foren.de/xt-phpbb/index.php erreichbar ist.
Rufe ich diese Seite mit Chrome auf, so lande ich auf der Startseite von xt-foren.de
Wenn ich jedoch das Smartphone (Android), IE, Edge, oder FF dafür nutze, so komme ich ganz normal ins Forum.

Klicke ich auf der Startseite von xt-foren.de auf den Hyperlink "Das XT-Forum" so geht dies auch nur mit IE, Edge und FF, jedoch nicht mit Chrome.

Das ist die Configdatei für den vhost:

root@www:/etc/getssl# more /etc/apache2/sites-available/xt-foren.conf
<VirtualHost *:80>
        RewriteEngine on
        RewriteRule !^/.well-known/acme-challenge/ https://%{HTTP_HOST} [L,R=permanent]

        ServerAdmin info@xt-foren.de
        ServerName www.xt-foren.de
        DocumentRoot /var/www/html/xt-foren
        <Directory /var/www/html/xt-foren>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-xt-foren.log
        LogLevel warn
        CustomLog /var/log/apache2/access-xt-foren.log combined
        ServerSignature On
</VirtualHost>

<VirtualHost *:80>
        RewriteEngine on
        RewriteRule !^/.well-known/acme-challenge/ https://%{HTTP_HOST} [L,R=permanent]

        ServerAdmin info@xt-foren.de
        ServerName xt-foren.de
        DocumentRoot /var/www/html/xt-foren
        <Directory /var/www/html/xt-foren>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-xt-foren.log
        LogLevel warn
        CustomLog /var/log/apache2/access-xt-foren.log combined
        ServerSignature On
</VirtualHost>

<VirtualHost *:443>
        SSLEngine on
        SSLCertificateFile /etc/getssl/working/xt-foren.de/xt-foren.de.crt
        SSLCertificateKeyFile /etc/getssl/working/xt-foren.de/xt-foren.de.key
        SSLCertificateChainFile /etc/getssl/working/xt-foren.de/chain.crt

        ServerAdmin info@xt-foren.de
        ServerName www.xt-foren.de
        DocumentRoot /var/www/html/xt-foren
        <Directory /var/www/html/xt-foren>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-xt-foren.log
        LogLevel warn
        CustomLog /var/log/apache2/access-xt-foren.log combined
        ServerSignature On
</VirtualHost>

<VirtualHost *:443>
        SSLEngine on
        SSLCertificateFile /etc/getssl/working/xt-foren.de/xt-foren.de.crt
        SSLCertificateKeyFile /etc/getssl/working/xt-foren.de/xt-foren.de.key
        SSLCertificateChainFile /etc/getssl/working/xt-foren.de/chain.crt

        ServerAdmin info@xt-foren.de
        ServerName xt-foren.de
        DocumentRoot /var/www/html/xt-foren
        <Directory /var/www/html/xt-foren>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-xt-foren.log
        LogLevel warn
        CustomLog /var/log/apache2/access-xt-foren.log combined
        ServerSignature On
</VirtualHost>

Das mit der RewriteRule muss ich machen, da mit getssl (https://github.com/srvrco/getssl) beim anfordern des Zertifikats ein http-get von der Serverseite aus gemacht wird und dieser mit einem einfachen

Rewrite / https://www.xt-foren.de

fehlschlägt. Was auch immer die sich dabei gedacht haben, dass die Datei nicht per https abholbar ist ???

Kann mir jemand helfen und mir sagen, wo ich den Fehler habe ?

Andere Webseiten auf dem Host wie z.B. www.edvservice-jung.de (Relikt aus alten Zeiten) funktionieren mit korrekter Verschlüsselung. Nur das Forum hakt. Da dort aber im Moment ca. 600 aktive User sind, möchte ich das ASAP wieder am Laufen haben.

Die Webseite www.motorrad-bannerexchange liegt auch auf dem host, das ist die config dazu:

<VirtualHost *:80>
        RewriteEngine on
        #RewriteRule !^/.well-known/acme-challenge/ https:{{comment_single_line_double_slash:0}}


        ServerAdmin info@motorrad-bannerexchange.de
        ServerName www.motorrad-bannerexchange.de
        DocumentRoot /var/www/html/motorrad-bannerexchange
        <Directory /var/www/html/motorrad-bannerexchange>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-motorrad-bannerexchange.log
        LogLevel warn
        CustomLog /var/log/apache2/access-motorrad-bannerexchange.log combined
        ServerSignature On
</VirtualHost>

<VirtualHost *:80>
        RewriteEngine on
        #RewriteRule !^/.well-known/acme-challenge/ https:{{comment_single_line_double_slash:0}}


        ServerAdmin info@motorrad-bannerexchange.de
        ServerName motorrad-bannerexchange.de
        DocumentRoot /var/www/html/motorrad-bannerexchange
        <Directory /var/www/html/motorrad-bannerexchange>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                #Order allow,deny
                #allow from all
                Require all granted
        </Directory>
        ErrorLog /var/log/apache2/error-motorrad-bannerexchange.log
        LogLevel warn
        CustomLog /var/log/apache2/access-motorrad-bannerexchange.log combined
        ServerSignature On
</VirtualHost>

#<VirtualHost *:443>
#       SSLEngine on
#       SSLCertificateFile /etc/getssl/working/motorrad-bannerexchange.de/motorrad-bannerexchange.de.crt
#       SSLCertificateKeyFile /etc/getssl/working/motorrad-bannerexchange.de/motorrad-bannerexchange.de.key
#       SSLCertificateChainFile /etc/getssl/working/motorrad-bannerexchange.de/chain.crt
#
#        ServerAdmin info@motorrad-bannerexchange.de
#        ServerName www.motorrad-bannerexchange.de
#        DocumentRoot /var/www/html/motorrad-bannerexchange
#        <Directory /var/www/html/motorrad-bannerexchange>
#                Options Indexes FollowSymLinks MultiViews
#                AllowOverride None
#                #Order allow,deny
#                #allow from all
#                Require all granted
#        </Directory>
#        ErrorLog /var/log/apache2/error-motorrad-bannerexchange.log
#        LogLevel warn
#        CustomLog /var/log/apache2/access-motorrad-bannerexchange.log combined
#        ServerSignature On
#</VirtualHost>

funktioniert auch mit dem Smartphone, IE, Edge und FF, jedoch kann ich kein neues Zertifikat holen. Und Chrome zeigt mir die Startseite von edvservice-jung an.

root@www:/etc/getssl# ./getssl -w working motorrad-bannerexchange.de
archiving old certificate file to working/motorrad-bannerexchange.de/motorrad-bannerexchange.de.crt_2016-07-01_2016-09-29
Registering account
Verify each domain
Verifing motorrad-bannerexchange.de
copying challenge token to /var/www/html/motorrad-bannerexchange.de/.well-known/acme-challenge/CtSalHFRrvbB2ghIQIrdEus9_0St6k1u83Rc19G2gdM
getssl: for some reason could not reach http://motorrad-bannerexchange.de/.well-known/acme-challenge/CtSalHFRrvbB2ghIQIrdEus9_0St6k1u83Rc19G2gdM - please check it manually

Die Datei /var/www/html/motorrad-bannerexchange.de/.well-known/acme-challenge/CtSalHFRrvbB2ghIQIrdEus9_0St6k1u83Rc19G2gdM existiert jedoch.

Die getssl.cfg dazu sieht so aus:

root@www:/etc/getssl# more working/motorrad-bannerexchange.de/getssl.cfg
# Uncomment and modify any variables you need
# The staging server is best for testing
CA="https://acme-staging.api.letsencrypt.org"  
# This server issues full certificates, however has rate limits
#CA="https://acme-v01.api.letsencrypt.org" 

#AGREEMENT="https://letsencrypt.org/documents/LE-SA-v1.0.1-July-27-2015.pdf" 

# Set an email address associated with your account - generally set at account level rather than domain.
#ACCOUNT_EMAIL="me@example.com" 
#ACCOUNT_KEY_LENGTH=4096
#ACCOUNT_KEY="working/account.key" 
PRIVATE_KEY_ALG="rsa"  

# Additional domains - this could be multiple domains / subdomains in a comma separated list
SANS=www.motorrad-bannerexchange.de

# Acme Challenge Location. The first line for the domain, the following ones for each additional domain.
# If these start with ssh: then the next variable is assumed to be the hostname and the rest the location.
# An ssh key will be needed to provide you with access to the remote server.
# If these start with ftp: then the next variables are ftpuserid:ftppassword:servername:ACL_location
#ACL=('/var/www/motorrad-bannerexchange.de/web/.well-known/acme-challenge' 
#     'ssh:server5:/var/www/motorrad-bannerexchange.de/web/.well-known/acme-challenge' 
#     'ftp:ftpuserid:ftppassword:motorrad-bannerexchange.de:/web/.well-known/acme-challenge') 

# Location for all your certs, these can either be on the server (so full path name) or using ssh as for the ACL
#DOMAIN_CERT_LOCATION="ssh:server5:/etc/ssl/domain.crt" 
#DOMAIN_KEY_LOCATION="ssh:server5:/etc/ssl/domain.key" 
#CA_CERT_LOCATION="/etc/ssl/chain.crt" 
#DOMAIN_CHAIN_LOCATION="" this is the domain cert and CA cert 
#DOMAIN_PEM_LOCATION="" this is the domain_key. domain cert and CA cert 
ACL=('/var/www/html/motorrad-bannerexchange.de/.well-known/acme-challenge'  
     '/var/www/html/motorrad-bannerexchange.de/.well-known/acme-challenge'  
    )

# The command needed to reload apache / nginx or whatever you use
#RELOAD_CMD="" 
# The time period within which you want to allow renewal of a certificate
#  this prevents hitting some of the rate limits.
RENEW_ALLOW="130"  

# Define the server type.  This can either be a webserver, ldaps or a port number which
# will be checked for certificate expiry and also will be checked after
# an update to confirm correct certificate is running (if CHECK_REMOTE) is set to true
#SERVER_TYPE="webserver" 
#CHECK_REMOTE="true" 

# Use the following 3 variables if you want to validate via DNS
#VALIDATE_VIA_DNS="true" 
#DNS_ADD_COMMAND=
#DNS_DEL_COMMAND=
#AUTH_DNS_SERVER="" 
#DNS_WAIT=10
#DNS_EXTRA_WAIT=60

Kann mir jemand weiterhelfen ? Ich dreh hier noch durch.

Danke und Grüße, Henere

Please also mark the comments that contributed to the solution of the article

Content-Key: 308710

Url: https://administrator.de/contentid/308710

Printed on: April 25, 2024 at 23:04 o'clock

1 Comment

Also den Rewrite habe ich nun so gelöst:

RewriteRule !^/.well-known/acme-challenge/ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=permanent]

Also wenn lets encrypt das Token abholen will, dann bleibt es bei http, alles andere wird auf https umgeleitet.

German solved Question Webserver Linux

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments