Keine hilfreiche Fehlermeldung bei SSL Verbindung wenn die CRL expired ist?
Hallo,
ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.
Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.
Im Browser erschien nur dies.
Im Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.
Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten
Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.
Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.
Falls Euch auch mal so ein Fehler unterläuft.
Stefan
ich habe nun ein paar Stunden meines Lebens damit zugebracht ein Problem zu identifizieren.
Es geht um ein Web-Projekt an das man sich per Client-Zertifikat von Windows-PCs anmeldet.
Die Zertifikate sind mit einer eigenen CA am Web-Server ausgestellt und in der Windows-Benutzerzertifikatsverwaltung zusammen mit dem Root-CA gespeichert.
Das funktioniere ziemlich lange absolut zuverlässt.
Ab heute morgen nicht mehr auf allen Clients gleichzeitig.
Im Browser erschien nur dies.
Gesicherte Verbindung fehlgeschlagen
SSL_ERROR_CERTIFICATE_UNKNOWN_ALERTIm Error-Log des Apache erschein gar nichts.
Auch nicht im Syslog oder anderen Logs.
Es muss also etwas mit der CA, dem Server oder Uhrtzeit/Datum zu tun haben.
Ich habe dann im Apache die Logs hochgedrecht und sehe was? Keinen ssl:error.
Das ist die einzige Zeile, neben vielen traces mit hexdaten
[ssl:info] [pid 29922] [client x.x.x.x:36105] AH01998: Connection closed to child 16 with abortive shutdown (server host.firma.de:443)Auch ein neues Zertifikat funktioniert nicht.
Am Server können alle Zertifikate erfolgreich gegen das CA geprüft werden.
Lösung: Die SSLCARevocationFile war expired.
Die Frage ist nun eher warum steht das nicht in irgendeinem Log drin?
Mit der Fehlermeldung wäre ich ja nach 5 Minuten fertig gewesen.
Falls Euch auch mal so ein Fehler unterläuft.
Stefan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672576
Url: https://administrator.de/forum/keine-hilfreiche-fehlermeldung-bei-ssl-verbindung-wenn-die-crl-expired-ist-672576.html
Ausgedruckt am: 13.05.2025 um 11:05 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
ist der Parameter auf dem Apache denn überhaupt gesetzt?
Gruß
ist der Parameter
SSLCARevocationCheck strictGruß
1
Hallo Michi,
das ist die ssl-config aus der vHost-Datei.
SSLVerifyClient steht auf optional.
Damit fragt der Browser trotzdem, aber wenn man nichts auswählt erscheint eine "hübsche" HTML-Seite.
Stefan
das ist die ssl-config aus der vHost-Datei.
SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLVerifyDepth 10
SSLCertificateFile /var/hosting/certificates/xxxxcrt
SSLCertificateKeyFile /var/hosting/certificates/xxxx.key
SSLCACertificateFile /etc/ssl/myCA/certs/ca.crt
SSLVerifyClient optional
#SSLVerifyClient require
SSLVerifyDepth 10
SSLOptions +StdEnvVars +ExportCertData
SSLCARevocationFile /etc/ssl/myCA/crl/myCA.crl
SSLCARevocationCheck chainSSLVerifyClient steht auf optional.
Damit fragt der Browser trotzdem, aber wenn man nichts auswählt erscheint eine "hübsche" HTML-Seite.
Stefan
Hm, aber die Frage auf meine Antwort wäre „nein“ gewesen, oder?
Stelle doch mal den von mir genannten Parameter auf strict und schaue ob dann etwas aussagekräftiges im Log stehen würde.
Stelle doch mal den von mir genannten Parameter auf strict und schaue ob dann etwas aussagekräftiges im Log stehen würde.
