Keine hilfreiche Fehlermeldung bei SSL Verbindung wenn die CRL expired ist?
Hallo,
ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.
Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.
Im Browser erschien nur dies.
Im Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.
Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten
Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.
Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.
Falls Euch auch mal so ein Fehler unterläuft.
Stefan
ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.
Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.
Im Browser erschien nur dies.
Gesicherte Verbindung fehlgeschlagen
SSL_ERROR_CERTIFICATE_UNKNOWN_ALERT
Im Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.
Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten
[ssl:info] [pid 29922] [client x.x.x.x:36105] AH01998: Connection closed to child 16 with abortive shutdown (server host.firma.de:443)
Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.
Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.
Falls Euch auch mal so ein Fehler unterläuft.
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672576
Url: https://administrator.de/forum/keine-hilfreiche-fehlermeldung-bei-ssl-verbindung-wenn-die-crl-expired-ist-672576.html
Ausgedruckt am: 13.05.2025 um 11:05 Uhr
3 Kommentare
Neuester Kommentar