Dudas con Apache2 y Debian 6.0

Iniciado por PeGaSs0, 3 Febrero 2015, 18:40 PM

0 Miembros y 1 Visitante están viendo este tema.

PeGaSs0

Quitando el Listen 443 y el NameVirtualHost *:443 dentro del archivo ssl.conf deja de salirme el error relacionado con el 443 pero me sale este otro:

Enabling site ssl.conf.
Run '/etc/init.d/apache2 reload' to activate new configuration!
root@debian-seas:/etc/apache2/sites-available# /etc/init.d/apache2 restart
Restarting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
Action 'start' failed.
The Apache error log may have more information.
failed!

Os iré informando.

Un saludo.

PeGaSs0

Buenas de nuevo, os sigo informando como llevo todo esto jeje, he conseguido solucionar algunos de los errores o warning, lo que no se es si de la forma más adecuada.

1. Para el del 127.0.0.1 he creado una línea nueva en el archivo /etc/apache2/httpd.conf llamada ServerName 10.0.2.15 y he reiniciado apache y listo.
2. En el archivo conf.ssl he quitado lo de Listen 443 y NameVirtualHost *:443 y en ports.conf he quitado algo también pero solo lo de NameVirtualHost *:443, he dejado solo el Listen 443.

Ahora me encuentro en la siguiente situación de incertidumbre....

root@debian-seas:/etc/apache2/sites-available# ls
default  default-ssl  public+ssl.conf  ssl.conf
root@debian-seas:/etc/apache2/sites-available# a2ensite ssl.conf
Enabling site ssl.conf.
Run '/etc/init.d/apache2 reload' to activate new configuration!
root@debian-seas:/etc/apache2/sites-available# /etc/init.d/apache2 restart
Restarting web server: apache2 ... waiting Action 'start' failed.
The Apache error log may have more information.
failed!
root@debian-seas:/etc/apache2/sites-available#

Tendré que mirar el log de apache, nunca lo he mirado, intentaré interpretarlo para solucionar el error.

Un saludo.

MinusFour

No necesitas el IfModule en ssl.conf porque ya lo estas haciendo en public+ssl.conf. Deshabilita ssl.conf y activa public+ssl.conf.

Código (bash) [Seleccionar]

sudo a2dissite ssl.conf
sudo a2ensite public+ssl.conf


Revisa bien que sitios estes cargando en /etc/apache2/sites-enabled:

Código (bash) [Seleccionar]

ls -l /etc/apache2/sites-enabled


Revisa que tengas los Vhosts apropiados habilitados.

PeGaSs0

Buenas de nuevo, he hecho lo que me has dicho MinusFour pero por algún extraño motivo me sale el siguiente mensaje de error:

root@debian-seas:/etc/apache2/sites-available# ls
default  default-ssl  public+ssl.conf  ssl.conf
root@debian-seas:/etc/apache2/sites-available# a2ensite public+ssl.conf
ERROR: No site found matching public+ssl.conf!
root@debian-seas:/etc/apache2/sites-available#

Creéis que es por el signo "+" a la hora de crearlo?

Por cierto, he revisado el log de apache y me devuelve lo siguiente, el caso es que tengo los ficheros .pem en su sitio y localizados....


[Tue Feb 10 19:34:00 2015] [notice] caught SIGTERM, shutting down
[Tue Feb 10 19:34:01 2015] [error] Init: Unable to read server certificate from file /etc/ssl/certs/publico.pem
[Tue Feb 10 19:34:01 2015] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Tue Feb 10 19:34:01 2015] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

En fin, algún día terminaré con este calvario sino me pegare un tiro xD.

Un saludo y gracias por vuestra ayuda.

MinusFour

¿Como has hecho los certificados? Lo del a2ensite no te preocupes, es solo un soft link a sites-enabled.

Código (bash) [Seleccionar]

sudo ln -s /etc/apache2/sites-available/public+ssl.conf /etc/apache2/sites-enabled/100-public+ssl.conf


Y eso es lo que deberia hacer a2ensite me parece.

PeGaSs0

#15
Os voy comentando cosas, he tenido que cambiarle el nombre al fichero public+ssl porque no me funcionaba con a2ensite, aún sabiendo que a2ensite es un soft link como dices así ya me deja ejecutar el comando. El error actual que tengo parece ser que es sobre el certificado, estoy investigándolo haber si logro arreglarlo. Para la creación del certificado hice lo siguiente escribiendo en la consola, y ya fui creándolo poniendo el país, y demás parámetros.

openssl req -new -newkey rsa:2048 -nodes -out /etc/ssl/certs/publico.pem -keyout /etc/ssl/private/privado.pem

Voy a cenar, luego sigo con la batalla XD.

Un saludo.

Estado actual de mis archivos ya modificados varias veces para eliminar los warnings:

publicssl.conf

<VirtualHost *:80>
        ServerAdmin webmaster@seas-linux.es
        ServerName public.seas-linux.es
        ServerAlias www.public.seas-linux.es
        DocumentRoot "/var/www/public/"
        <Directory "/var/www/public/">
        Options Indexes
        IndexOptions NameWidth=* FancyIndexing FoldersFirst SuppressLastModified SuppressDescrip$
        AllowOverride None
        Order allow,deny
        Allow from all
        </Directory>
        <Directory "/var/www/public/tmp/">
        Options Indexes
        AllowOverride None
        Order allow,deny
        Deny from all
        Allow from 10.0.2.0/24
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

# Conexion SSL 443
<IfModule mod_ssl.c>
        Include "/etc/apache2/sites-available/ssl.conf"
</IfModule>


ssl.conf

<VirtualHost *:443>
        ServerAdmin webmaster@seas-linux.es
        ServerName public.seas-linux.es
        ServerAlias www.public.seas-linux.es
        DocumentRoot "/var/www/public/tmp/"

        ErrorLog ${APACHE_LOG_DIR}/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined

#Aqui indicamos que será un canal cifrado y los certificados que antes creamos, aquí los ubicamos
SSLEngine on
SSLCertificateFile "/etc/ssl/certs/publico.pem"
SSLCertificateKeyFile "/etc/ssl/private/privado.pem"
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 \
EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 \
EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"
</VirtualHost>

<VirtualHost *:80>
UserDir ./
UserDir disabled root
ServerAdmin webmaster@seas-linux.es
ServerName restricted.seas-linux.es
ServerAlias www.restricted.seas-linux.es
DocumentRoot "/home/alumno/"
<Directory "/home/alumno/">
Options Indexes
AllowOverride None
Order allow,deny
Allow from all
AuthType Basic
AuthName "Acceso Restringido a este recurso"
AuthUserFile "/usr/local/apache2/etc/.htpasswd"
Require valid-user
Require user admin alumno
</Directory>
</VirtualHost>





MinusFour

Lo que has hecho es un Certificate Signing Request. Con los CSR un CA te puede generar un Certificado. Tu lo que quieres es generar un certificado firmado por ti mismo, no una peticion para un certificado.

Código (text) [Seleccionar]
openssl req -x509 -sha256 -newkey rsa:2048 -nodes -out /etc/ssl/certs/publico.pem -keyout /etc/ssl/private/privado.pem -days 365

PeGaSs0

Buenas de nuevo, al final para arreglar el problema del certificado opté por hacer una instalación nueva con otros parámetros y está todo correcto o al menos eso parece jeje solo algunos warnings. El código que usé fue el siguiente:

mkdir -p /etc/ssl/localcerts
openssl req -new -x509 -days 365 -nodes -out /etc/ssl/localcerts/apache.pem -keyout /etc/ssl/localcerts/apache.key


Lo he probado todo y parece que funciona como debe, usuarios y permisos, ssl y demás.
Ahora me toca integrar ProFTPD y OpenLDAP. Supongo que primer intentaré instalar ProFTPD ( espero que no me cueste mucho ) y luego a lo visto hay que integrar OpenLDAP con Apache y ProFTPD. Intentaré hacerlo como pueda pero sino os importa abro un nuevo post y vamos comentando el resto de la instalación.

Muchas gracias por vuestro tiempo y ayuda.

Un saludo.

MinusFour

No estoy seguro que sea necesario -new o si haga algo que no deba. Tecnicamente son dos cosas diferentes lo que hacen X509 y new.


       -new
           this option generates a new certificate request. It will prompt the user for the relevant field values. The actual fields prompted for and their maximum and minimum sizes are specified in the
           configuration file and any requested extensions.

           If the -key option is not used it will generate a new RSA private key using information specified in the configuration file.

       -x509
           this option outputs a self signed certificate instead of a certificate request. This is typically used to generate a test certificate or a self signed root CA. The extensions added to the certificate
           (if any) are specified in the configuration file. Unless specified using the set_serial option 0 will be used for the serial number.

PeGaSs0

Este tema está solucionado en principio salvo algunos warnings aparentemente relacionados con SSL, supongo que porque no están firmados los certificados. Si lo creeis conveniente cerrar el tema, sino dejadlo abierto para que la gente comente.

Un saludo.