[Linux-bruxelles] problème HTTPS avec apache 2

Eric Hanuise ehanuise at fantasybel.net
Mar 22 Aou 01:24:39 CEST 2006


Ton erreur "failure:s23_lib.c:226" via google donne pas mal de resultats 
sur des problèmes apache2/modssl. As-tu le même problème avec le package 
apache-ssl ou un autre serveur https sur le même serveur ?
(si tu as webmin installé il a son propre serveur https sur le port 
10000 c'est donc facile a tester)

Pour le log, erreur 301 c'est un redirect/moved permanently. Bizarre...

Sinon, a part le fait de placer le serveur derrière un routeur, 
qu'est-ce qui a changé ?

- modifs faites sur les routes/default GW du serveur ?
- tu es bien certain qu'il ne répond pas par défaut en IPV6 uniquement ?
- des changements notables au niveau de la config serveur ?
- au niveau des fichiers servis, ils sont tjs au même endroit ?
- pas de subtilités dans un .htaccess ?
- pas de règles de 'fond de panier' dans le apache.conf limitant les 
accès ssl a certains clients/ip's et effectuant un redirect le cas echeant ?
- pas d'update de apache/openssl/tls/PAM ?

Pour le openssl en local effectivement c'est un peu court il devrait 
faire la connection et passer le certificat. Chez moi en local j'obtiens 
ceci (et tu as peut être un problème de version ssl v2/v3):

> snotling:~$ openssl s_client -connect localhost:443 -state -debug
> CONNECTED(00000003)
> SSL_connect:before/connect initialization
> write to 080B0C68 [080B12C0] (142 bytes => 142 (0x8E))
> 0000 - 80 8c 01 03 01 00 63 00-00 00 20 00 00 39 00 00   ......c... ..9..
> 0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0   8..5............
> 0020 - 00 00 33 00 00 32 00 00-2f 03 00 80 00 00 66 00   ..3..2../.....f.
> 0030 - 00 05 00 00 04 01 00 80-08 00 80 00 00 63 00 00   .............c..
> 0040 - 62 00 00 61 00 00 15 00-00 12 00 00 09 06 00 40   b..a...........@
> 0050 - 00 00 65 00 00 64 00 00-60 00 00 14 00 00 11 00   ..e..d..`.......
> 0060 - 00 08 00 00 06 04 00 80-00 00 03 02 00 80 27 f6   ..............'.
> 0070 - 0f ff 0b fc be 94 00 d1-de 61 db 23 e9 5a f8 2a   .........a.#.Z.*
> 0080 - 81 8c 11 79 84 13 7d f4-6b ed 41 88 79            ...y..}.k.A.y
> 008e - <SPACES/NULS>
> SSL_connect:SSLv2/v3 write client hello A
> read from 080B0C68 [080B6820] (7 bytes => 7 (0x7))
> 0000 - 16 03 01 00 4a 02                                 ....J.
> 0007 - <SPACES/NULS>
> read from 080B0C68 [080B6827] (72 bytes => 72 (0x48))
> 0000 - 00 46 03 01 44 ea 3d d8-5d 96 15 93 22 b2 b8 f4   .F..D.=.]..."...
> 0010 - b4 d9 0f 85 8c cc b4 de-b8 bc 79 41 59 6b 0c 7b   ..........yAYk.{
> 0020 - 27 d2 9d cc 20 07 00 b1-e7 6e aa 50 d5 3b 21 a3   '... ....n.P.;!.
> 0030 - 1f e6 a8 d9 d0 dd 01 1d-63 fe b1 f3 43 88 6d c5   ........c...C.m.
> 0040 - 3a 68 4f 33 5b 00 39                              :hO3[.9
> 0048 - <SPACES/NULS>
> SSL_connect:SSLv3 read server hello A
> read from 080B0C68 [080B6820] (5 bytes => 5 (0x5))
> 0000 - 16 03 01 02 9f                                    .....
> read from 080B0C68 [080B6825] (671 bytes => 671 (0x29F))
> 0000 - 0b 00 02 9b 00 02 98 00-02 95 30 82 02 91 30 82   ..........0...0.
> 0010 - 01 fa 02 09 00 fe df 35-ab 37 01 5a ad 30 0d 06   .......5.7.Z.0..
> 0020 - 09 2a 86 48 86 f7 0d 01-01 04 05 00 30 81 8f 31   .*.H........0..1
> 0030 - 0b 30 09 06 03 55 04 06-13 02 42 45 31 11 30 0f   .0...U....BE1.0.
> 0040 - 06 03 55 04 08 13 08 42-72 75 73 73 65 6c 73 31   ..U....Brussels1
> 0050 - 13 30 11 06 03 55 04 07-13 0a 41 6e 64 65 72 6c   .0...U....Anderl
> 0060 - 65 63 68 74 31 10 30 0e-06 03 55 04 0a 14 07 54   echt1.0...U....T
> 0070 - 6f 75 63 68 79 21 31 23-30 21 06 03 55 04 0b 14   ouchy!1#0!..U...
> 0080 - 1a 54 6f 75 63 68 79 21-20 73 65 6c 66 2d 63 65   .Touchy! self-ce
> 0090 - 72 74 69 66 69 63 61 74-69 6f 6e 31 21 30 1f 06   rtification1!0..
> 00a0 - 03 55 04 03 13 18 73 65-6c 66 2d 63 65 72 74 2e   .U....self-cert.
> 00b0 - 66 61 6e 74 61 73 79 62-65 6c 2e 6e 65 74 30 1e   fantasybel.net0.
> 00c0 - 17 0d 30 36 30 35 31 35-31 30 30 36 34 35 5a 17   ..060515100645Z.
> 00d0 - 0d 30 37 30 35 31 35 31-30 30 36 34 35 5a 30 81   .070515100645Z0.
> 00e0 - 89 31 0b 30 09 06 03 55-04 06 13 02 42 45 31 11   .1.0...U....BE1.
> 00f0 - 30 0f 06 03 55 04 08 13-08 42 72 75 73 73 65 6c   0...U....Brussel
> 0100 - 73 31 13 30 11 06 03 55-04 07 13 0a 41 6e 64 65   s1.0...U....Ande
> 0110 - 72 6c 65 63 68 74 31 10-30 0e 06 03 55 04 0a 14   rlecht1.0...U...
> 0120 - 07 54 6f 75 63 68 79 21-31 23 30 21 06 03 55 04   .Touchy!1#0!..U.
> 0130 - 0b 14 1a 54 6f 75 63 68-79 21 20 73 65 6c 66 2d   ...Touchy! self-
> 0140 - 63 65 72 74 69 66 69 63-61 74 69 6f 6e 31 1b 30   certification1.0
> 0150 - 19 06 03 55 04 03 13 12-77 77 77 2e 66 61 6e 74   ...U....www.fant
> 0160 - 61 73 79 62 65 6c 2e 6e-65 74 30 81 9f 30 0d 06   asybel.net0..0..
> 0170 - 09 2a 86 48 86 f7 0d 01-01 01 05 00 03 81 8d 00   .*.H............
> 0180 - 30 81 89 02 81 81 00 cb-84 63 3a 96 60 13 16 3e   0........c:.`..>
> 0190 - 25 4b 63 19 62 50 2b a8-fd 48 c1 43 1d 43 a5 7c   %Kc.bP+..H.C.C.|
> 01a0 - d4 6a 9c 7c 4c 20 27 ab-cf c5 a9 c2 85 9b c7 5a   .j.|L '........Z
> 01b0 - 36 a5 4c bb da 3f 46 2f-72 f9 52 0d 8a f8 65 65   6.L..?F/r.R...ee
> 01c0 - 5e db 51 36 5d e8 8b 4c-c8 68 d7 24 73 53 90 2e   ^.Q6]..L.h.$sS..
> 01d0 - 4f f0 b5 9b c8 07 90 56-7c 8c bf 0e f7 19 52 64   O......V|.....Rd
> 01e0 - ef 39 84 f3 f4 6f a1 6a-96 28 86 1c 23 8f 95 31   .9...o.j.(..#..1
> 01f0 - 98 a3 f1 9b 05 b7 eb 8b-14 bf 3b 20 c3 b1 a0 70   ..........; ...p
> 0200 - 92 7e 95 28 c9 5b d9 02-03 01 00 01 30 0d 06 09   .~.(.[......0...
> 0210 - 2a 86 48 86 f7 0d 01 01-04 05 00 03 81 81 00 59   *.H............Y
> 0220 - 10 0b fa 39 71 99 2a 5b-9a 32 16 11 54 2b ae 47   ...9q.*[.2..T+.G
> 0230 - 88 fd fb 6d 68 a1 7c 2c-c7 b5 28 47 08 54 99 cf   ...mh.|,..(G.T..
> 0240 - 0f a4 fa 2e cf 6f dd a9-86 c5 7a 53 6e b7 d1 72   .....o....zSn..r
> 0250 - 4d 82 d7 9f 18 f8 94 a2-bf 30 e0 ca 23 c6 b9 04   M........0..#...
> 0260 - 00 39 eb 71 c9 2f a7 38-df 9d 94 94 8e 2f 8b 2b   .9.q./.8...../.+
> 0270 - 39 7e 10 c5 4e ab dd 4d-67 86 1f 71 87 b2 ac c2   9~..N..Mg..q....
> 0280 - 1e 94 c8 67 c6 04 1d 11-c8 86 77 d5 8a c5 00 07   ...g......w.....
> 0290 - 18 8e ba 4c ed d8 7c f1-58 77 d6 fe a5 6d 8b      ...L..|.Xw...m.
> depth=0 /C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=www.fantasybel.net
> verify error:num=20:unable to get local issuer certificate
> verify return:1
> depth=0 /C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=www.fantasybel.net
> verify error:num=27:certificate not trusted
> verify return:1
> depth=0 /C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=www.fantasybel.net
> verify error:num=21:unable to verify the first certificate
> verify return:1
> SSL_connect:SSLv3 read server certificate A
> read from 080B0C68 [080B6820] (5 bytes => 5 (0x5))
> 0000 - 16 03 01 01 8d                                    .....
> read from 080B0C68 [080B6825] (397 bytes => 397 (0x18D))
> 0000 - 0c 00 01 89 00 80 e6 96-9d 3d 49 5b e3 2c 7c f1   .........=I[.,|.
> 0010 - 80 c3 bd d4 79 8e 91 b7-81 82 51 bb 05 5e 2a 20   ....y.....Q..^*
> 0020 - 64 90 4a 79 a7 70 fa 15-a2 59 cb d5 23 a6 a6 ef   d.Jy.p...Y..#...
> 0030 - 09 c4 30 48 d5 a2 2f 97-1f 3c 20 12 9b 48 00 0e   ..0H../..< ..H..
> 0040 - 6e dd 06 1c bc 05 3e 37-1d 79 4e 53 27 df 61 1e   n.....>7.yNS'.a.
> 0050 - bb be 1b ac 9b 5c 60 44-cf 02 3d 76 e0 5e ea 9b   .....\`D..=v.^..
> 0060 - ad 99 1b 13 a6 3c 97 4e-9e f1 83 9e b5 db 12 51   .....<.N.......Q
> 0070 - 36 f7 26 2e 56 a8 87 15-38 df d8 23 c6 50 50 85   6.&.V...8..#.PP.
> 0080 - e2 1f 0d d5 c8 6b 00 01-02 00 80 8b 02 25 fd 3e   .....k.......%.>
> 0090 - 1a 6b 64 22 d2 8b 84 88-bb fa 0f ec 5c 92 16 d1   .kd"........\...
> 00a0 - 7f d2 9e 5b 90 bc a2 35-cf 7a 93 df 13 b7 0d d1   ...[...5.z......
> 00b0 - 88 47 c2 94 85 8f c5 73-a8 38 88 d0 97 9c 66 78   .G.....s.8....fx
> 00c0 - 31 6c 4f 94 38 f1 03 7a-f8 c4 4e e0 66 16 bb 8b   1lO.8..z..N.f...
> 00d0 - 32 07 9c 04 22 72 09 0c-30 dc 3d ea a6 63 eb ad   2..."r..0.=..c..
> 00e0 - d8 c8 d0 bc a4 da 60 23-b4 98 0f f1 f3 0a c0 3f   ......`#.......?
> 00f0 - 3e 66 21 1f 6e e1 4b ad-f6 b1 90 c2 38 9f c2 6c   >f!.n.K.....8..l
> 0100 - d3 56 f9 08 7d 68 be 88-54 57 ec 00 80 43 d9 aa   .V..}h..TW...C..
> 0110 - ef 5c 2a 5b e2 9b c5 bb-8e 71 fb e8 86 c4 d6 7f   .\*[.....q......
> 0120 - 7e fb 64 55 06 99 72 14-bd 9d 25 21 d5 3e 65 17   ~.dU..r...%!.>e.
> 0130 - 74 29 1e 94 37 ce 9a c6-ec 34 be ac 3f 8f 9b e4   t)..7....4..?...
> 0140 - 71 95 ec 96 4e dc 36 07-72 73 c9 ef 5d 17 58 c5   q...N.6.rs..].X.
> 0150 - ec c6 20 16 85 fa c5 76-bf fa ca 74 1b ab fc 99   .. ....v...t....
> 0160 - 79 32 a3 9a 73 c1 cb 98-55 ac 84 d3 63 38 fe 5c   y2..s...U...c8.\
> 0170 - fb 50 17 b5 d4 68 f9 1e-65 7f 0f 76 60 01 a4 81   .P...h..e..v`...
> 0180 - 6d fe dc 52 86 d1 90 5c-e5 69 6a d1 98            m..R...\.ij..
> SSL_connect:SSLv3 read server key exchange A
> read from 080B0C68 [080B6820] (5 bytes => 5 (0x5))
> 0000 - 16 03 01 00 04                                    .....
> read from 080B0C68 [080B6825] (4 bytes => 4 (0x4))
> 0000 - 0e                                                .
> 0004 - <SPACES/NULS>
> SSL_connect:SSLv3 read server done A
> write to 080B0C68 [080C0A60] (139 bytes => 139 (0x8B))
> 0000 - 16 03 01 00 86 10 00 00-82 00 80 d7 95 12 b1 fe   ................
> 0010 - ba 5f 75 85 5a c7 6e 8c-ee 98 24 f5 aa d8 5c e0   ._u.Z.n...$...\.
> 0020 - 94 91 23 b3 0e 2d 5d 09-15 e4 61 8a 71 a0 53 bb   ..#..-]...a.q.S.
> 0030 - 86 1c de 88 f3 a0 44 9a-04 94 34 5c 80 2d 9e 63   ......D...4\.-.c
> 0040 - 43 7b 23 58 3f c3 e7 ec-35 d1 61 6c f9 70 a9 70   C{#X?...5.al.p.p
> 0050 - 6f 88 c1 2a 6e c1 8e c0-b2 fd 52 55 89 b1 4b da   o..*n.....RU..K.
> 0060 - d9 47 f7 63 58 d2 2c f5-25 36 c1 e4 15 4c 0c cb   .G.cX.,.%6...L..
> 0070 - 7c 42 bb 2b c1 ca 81 0d-6c 3c 97 71 64 85 a0 e3   |B.+....l<.qd...
> 0080 - 5e 1e d2 d0 08 c4 e6 39-fa 06 e9                  ^......9...
> SSL_connect:SSLv3 write client key exchange A
> write to 080B0C68 [080C0A60] (6 bytes => 6 (0x6))
> 0000 - 14 03 01 00 01 01                                 ......
> SSL_connect:SSLv3 write change cipher spec A
> write to 080B0C68 [080C0A60] (53 bytes => 53 (0x35))
> 0000 - 16 03 01 00 30 97 64 b4-0d d4 88 be 89 a8 2d d7   ....0.d.......-.
> 0010 - 45 75 28 6e a6 15 c2 f5-c3 97 b4 44 f7 b6 f8 75   Eu(n.......D...u
> 0020 - 6d 05 dd 9e 1f 37 27 2d-98 6c 04 7c f2 78 c4 e6   m....7'-.l.|.x..
> 0030 - 80 95 f0 07 94                                    .....
> SSL_connect:SSLv3 write finished A
> SSL_connect:SSLv3 flush data
> read from 080B0C68 [080B6820] (5 bytes => 5 (0x5))
> 0000 - 14 03 01 00 01                                    .....
> read from 080B0C68 [080B6825] (1 bytes => 1 (0x1))
> 0000 - 01                                                .
> read from 080B0C68 [080B6820] (5 bytes => 5 (0x5))
> 0000 - 16 03 01 00 30                                    ....0
> read from 080B0C68 [080B6825] (48 bytes => 48 (0x30))
> 0000 - c4 22 79 61 3d 7a ab cb-95 75 20 28 7e 13 dd 73   ."ya=z...u (~..s
> 0010 - 21 15 ab 49 5d 23 8b 0c-fe 8e 28 0b 29 6b 6e 26   !..I]#....(.)kn&
> 0020 - e9 c8 0c 08 24 96 0e e3-5c a3 83 b9 0a 81 4e 5c   ....$...\.....N\
> SSL_connect:SSLv3 read finished A
> ---
> Certificate chain
>  0 s:/C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=www.fantasybel.net
>    i:/C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=self-cert.fantasybel.net
> ---
> Server certificate
> -----BEGIN CERTIFICATE-----
> MIICkTCCAfoCCQD+3zWrNwFarTANBgkqhkiG9w0BAQQFADCBjzELMAkGA1UEBhMC
> QkUxETAPBgNVBAgTCEJydXNzZWxzMRMwEQYDVQQHEwpBbmRlcmxlY2h0MRAwDgYD
> VQQKFAdUb3VjaHkhMSMwIQYDVQQLFBpUb3VjaHkhIHNlbGYtY2VydGlmaWNhdGlv
> bjEhMB8GA1UEAxMYc2VsZi1jZXJ0LmZhbnRhc3liZWwubmV0MB4XDTA2MDUxNTEw
> MDY0NVoXDTA3MDUxNTEwMDY0NVowgYkxCzAJBgNVBAYTAkJFMREwDwYDVQQIEwhC
> cnVzc2VsczETMBEGA1UEBxMKQW5kZXJsZWNodDEQMA4GA1UEChQHVG91Y2h5ITEj
> MCEGA1UECxQaVG91Y2h5ISBzZWxmLWNlcnRpZmljYXRpb24xGzAZBgNVBAMTEnd3
> dy5mYW50YXN5YmVsLm5ldDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAy4Rj
> OpZgExY+JUtjGWJQK6j9SMFDHUOlfNRqnHxMICerz8WpwoWbx1o2pUy72j9GL3L5
> Ug2K+GVlXttRNl3oi0zIaNckc1OQLk/wtZvIB5BWfIy/DvcZUmTvOYTz9G+hapYo
> hhwjj5UxmKPxmwW364sUvzsgw7GgcJJ+lSjJW9kCAwEAATANBgkqhkiG9w0BAQQF
> AAOBgQBZEAv6OXGZKluaMhYRVCuuR4j9+21ooXwsx7UoRwhUmc8PpPouz2/dqYbF
> elNut9FyTYLXnxj4lKK/MODKI8a5BAA563HJL6c4352UlI4viys5fhDFTqvdTWeG
> H3GHsqzCHpTIZ8YEHRHIhnfVisUABxiOukzt2HzxWHfW/qVtiw==
> -----END CERTIFICATE-----
> subject=/C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=www.fantasybel.net
> issuer=/C=BE/ST=Brussels/L=Anderlecht/O=Touchy!/OU=Touchy! self-certification/CN=self-cert.fantasybel.net
> ---
> No client certificate CA names sent
> ---
> SSL handshake has read 1225 bytes and written 340 bytes
> ---
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 1024 bit
> SSL-Session:
>     Protocol  : TLSv1
>     Cipher    : DHE-RSA-AES256-SHA
>     Session-ID: 0700B1E76EAA50D53B21A31FE6A8D9D0DD011D63FEB1F343886DC53A684F335B
>     Session-ID-ctx:
>     Master-Key: A58868C22662EA75BA0D22AABDA9EDEBA3EECE825E8C1D71ADAB5CE6904CA8FB367E8A7CBE68B479F3A7BD7ED82285CB
>     Key-Arg   : None
>     Start Time: 1156201944
>     Timeout   : 300 (sec)
>     Verify return code: 21 (unable to verify the first certificate)
> ---


Carl Devos wrote:
> Bonjour,
> 
> Je viens de passer mon serveur (Sarge avec Apache2) derrière un  routeur 
> chez moi, et voilà que je n'ai plus accès en HTTPS (alors  qu'il y a 2 
> jours, je n'avais pas de problème).
> 
> J'ai donc pensé à un problème de forwarding, mais lorsque j'essaie en  
> local, ça ne fonctionne pas non plus:
> 
> links https://localhost/
> 
> Donne: "SSL error".
> 
> Avec comme log dans access.log:
> 127.0.0.1 - - [22/Aug/2006:00:29:40 +0200] "\x16\x03\x01" 301 - "-" "-"
> 127.0.0.1 - - [22/Aug/2006:00:29:40 +0200] "\x16\x03\x01" 301 - "-" "-"
> 127.0.0.1 - - [22/Aug/2006:00:29:40 +0200] "\x16\x03\x01" 301 - "-" "-"
> 
> Donc j'ai essayé autre chose:
> 
> openssl s_client -connect localhost:443 -state -debug
> 
> qui donne comme output:
> 
> CONNECTED(00000003)
> SSL_connect:before/connect initialization
> write to 080B0B08 [080B1100] (142 bytes => 142 (0x8E))
> 0000 - 80 8c 01 03 01 00 63 00-00 00 20 00 00 39 00 00   ......c... .. 9..
> 0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0    8..5............
> 0020 - 00 00 33 00 00 32 00 00-2f 03 00 80 00 00 66 00   .. 3..2../.....f.
> 0030 - 00 05 00 00 04 01 00 80-08 00 80 00 00 63 00  00   .............c..
> 0040 - 62 00 00 61 00 00 15 00-00 12 00 00 09 06 00 40    b..a...........@
> 0050 - 00 00 65 00 00 64 00 00-60 00 00 14 00 00 11  00   ..e..d..`.......
> 0060 - 00 08 00 00 06 04 00 80-00 00 03 02 00 80 99  71   ...............q
> 0070 - 03 dd 30 80 c1 c5 4c d1-ec 4e bc 02 1e 77 b2 dd   .. 0...L..N...w..
> 0080 - 17 a5 18 9c a7 35 8c ae-9c ca 8a a7 fa 6f         .....5.......o
> SSL_connect:SSLv2/v3 write client hello A
> read from 080B0B08 [080B6660] (7 bytes => 0 (0x0))
> 4663:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake  
> failure:s23_lib.c:226
> 
> Est-ce que ça veut dire que TLS/SSL n'est pas activé sur le port 443?
> Si oui, comment y remédier?
> 
> Voici le fichier de configuration apache:
> 
> NameVirtualHost zongo.be:443
> <VirtualHost zongo.be:443>
>         ServerName zongo.be
>         ServerAdmin carl at zongo.be
>         DocumentRoot /var/www/
>         SSLEngine on
>         SSLCertificateFile /etc/apache2/ssl/apache.pem
>         Include /etc/squirrelmail/apache.conf
> </VirtualHost>
> 
> J'ai essayé en générant un nouveau certificat apache.pem, ça ne  change 
> rien.
> 
> Quelqu'un à une idée?
> 
> Merci d'avance,
> 


-- 
----------------------------------------------------------------------
    Eric Hanuise - ehanuise at fantasybel dot net
                 "If it works, don't fix it"
----------------------------------------------------------------------
  ()  ascii ribbon campaign - against html mail
  /\         - against microsoft attachments

Why HTML in E-Mail is a Bad Idea
http://www.birdhouse.org/etc/evilmail.html




Plus d'informations sur la liste de diffusion Linux-bruxelles