Jetzt hat sich gestern aber mod_gnutls an seinem Cache unter /var/cache/apache2/gnutls_cache verschluckt, was einige unangenehme Folgen hatte.

• Massives Loggen von “PANIC: fatal region error detected; run recovery” in /var/log/apache2/error.log (~25MB/s)
• Extrem hohe Last auf dem Server
• Vollaufen der Festplatte (bzw. der Log-Partition)
• nahezu keine Reaktion auf http/https vom Apache2 auf Anfragen an diesen
• Diverse Kernel Stack Traces, zumeist als Konsequenz der vollen Festplatte

Was als Sofort-Maßnahme hilft, ist das Töten des Apache2 (killall -9 apache2), löschen von /var/cache/apache2/gnutls_cache und /var/log/apache2/error.log und den Webserver wieder starten.

Interessant ist natürlich, warum sein Cache korrumpiert wurde und eigentlich noch viel interessanter, warum mod_gnutls es überhaupt für nötig befindet, einen Cache anzulegen (mod_ssl kommt auch ohne aus). Die Einstellung findet sich übrigens hier: /etc/apache2/mods-available/gnutls.conf. Dort wird im Übrigen auch erwähnt, dass die DBM Variante auch nicht die Schnellste ist. Daher wollte ich einfach mal ein paar MB für einen memcached Dienst abzacken und diesen als Backend-DB für den gnutls-Cache nutzen. Dummerweise bin ich da mal wieder zum x-ten mal in einen Debian-Bug reingerannt (ja es häuft sich ganz extrem), denn der memcached Support ist gar nicht mit einkompiliert (anders als die Doku und das Config File vermuten lassen.)

Ebenfalls undokumentiert ist die Möglichkeit, den dummen, obsoleten Cache ganz abzustellen. Dazu einfach Folgendes in die Config /etc/apache2/mods-available/gnutls.conf einfügen:

  GnuTLSCache none none

Läuft auch nicht langsamer als die DBM-Variante und sollte weit weniger fehleranfällig sein.

mod_gnutls vor die Wand gefahren ist ein Original von: Dem Commander1024 sein Blog

aptitude install libapache2-mod-gnutls
a2enmod gnutls
a2dismod ssl

/etc/apache2/ports.conf editieren:

<IfModule mod_gnutls.c>
 Listen 443
</IfModule>

Zwischenzertifikat / Intermediate Zertifikate einfach an das SSL-Zertifikat anhängen:

   # cat www.commander1024.de.crt sub.class1.server.ca.pem > www.commander1024.de.pem

SSL-Vhosts umschreiben:

#       SSLCertificateFile      /etc/apache2/ssl/www.commander1024.de.crt
#       SSLCertificateKeyFile   /etc/apache2/ssl/www.commander1024.de.key
#       SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
#       SSLProtocol all -SSLv2
#       SSLEngine On

 GnuTLSEnable on
 GnuTLSPriorities NORMAL
 GnuTLSCertificateFile /etc/apache2/ssl/www.commander1024.de.pem
 GnuTLSKeyFile /etc/apache2/ssl/www.commander1024.de.key

 ServerName www.commander1024.de
 ServerAlias commander1024.de

Den Indianer neustarten:

/etc/init.d/apache2 restart

und das wars auch schon! Nun kann man beliebig viele SSL Vhosts auf einer IP Adresse betreiben. Alle OS’e und Browser unterstützen dieses bereits nur die Windows XP TLS lib beherrscht das noch nicht korrekt, sodaß unter XP alle Browser, die im XP eingebaute TLS Library verwenden, Zertifikatswarnungen ausgeben ab dem 2. VHost. Der Firefox bringt seine eigene TLS lib mit und ist davon nicht betroffen.

mod_ssl durch mod_gnutls beim Apache2 ersetzt ist ein Original von: Dem Commander1024 sein Blog

Einen SSL-Schlüssel erzeugen. Die Zahl am Ende gibt die Schlüsselstärke an:

openssl genrsa -out MYDOMAIN.COM.key 2048

Erstellen eines Certificate Signing Request (CSR). Dieser kann zur Erzeugung des Zertifikats bei einem (validen) Reseller eingereicht werden:

openssl req -new -key YOURDOMAIN.COM.key -out YOURDOMAIN.COM.csr

Entfernen einer Passphrase aus einem vorhandenen Schlüssel:

openssl rsa -in MYDOMAIN.COM.key.withpassword -out MYDOMAIN.COM.key

Inhalt eines CSR einsehen:

openssl req -noout -text -in MYDOMAIN.COM.csr

Ein Zertifikat selbst signieren:

openssl x509 -req -days 3650 -in MYDOMAIN.COM.csr \
-signkey MYDOMAIN.COM.key \
-out MYDOMAIN.COM.crt

Ein selbstsigniertes Zertifikat in einem Schritt im .pem Format erzeugen (enthält Key+Zertifikat):

openssl req -new -x509 -days 365 -nodes \
-out /etc/apache2/ssl/www.<domainname>.de.pem \
-keyout /etc/apache2/ssl/www.<domainname>.de.pem

Inhalt eines Zertifikats einsehen:

openssl x509 -in MYDOMAIN.COM.crt -text | head -n 12

OpenSSL Cheat Sheet ist ein Original von: Dem Commander1024 sein Blog