Hallo,

welches Betriebssystem nutzt Du?
Und ist auf beiden Rechnern das gleiche installiert, oder gibt es da Unterschiede?

Die Fehlermeldung hängt wahrscheinlich mit der zlib zusammen. Entweder fehlt sie ganz, oder es ist die falsche Version installiert.

MfG
Carsten

Hi Carsten,

danke für deine Antwort.

ich nutze debian. Ich habe auf beiden Rechnern das gleiche installiert. Zumindestens habe ich auf beiden PC "apt-get install openssl" ausgeführt. Anschließend habe ich mir einen CA-Root erstellt (hoffe ich habe es richtig gemacht) und dann die privaten und öffentlichen Schlüssel für den Server erstellt.

Was ist denn zlib? Wie kann man feststellen, dass man die falsche Version installiert hat?

Viele Grüße,
Scott

Hallo Scott,

gern geschehen.

zlib ist eine Kompressionsbibliothek, die von OpenSSL verwendet wird.
Und die Fehlermeldung "bad decompression" deutet auf einen Fehler beim dekomprimieren oder evtl. komprimieren hin. Das kann z.B. passieren, wenn OpenSSL mit der installierten Version nicht klar kommt oder wenn gar keine installiert ist.

Bei Debian kann das aber eigentlich nicht passieren. Ich nutze Debian auch viel und hatte bisher nie Probleme mit falschen Versionen. Die Abhängigkeiten werden von apt eigentlich sehr gut verwaltet.
Bei Windows kann es schon mal vorkommen, das ein schlampender Installer eine vorhandene Library austauscht und danach andere Programme mit der neueren (oder evtl. sogar älteren) Version Probleme haben.

Es ist schon einige Zeit her, das ich das letzte Mal was mit OpenSSL gemacht habe, aber wenn man das genau nach Anleitung macht kann eigentlich nicht viel schief gehen.

Wie hast Du denn CA-Root und Schlüssel erstellt?

MfG
Carsten

Hi Carsten,

meinen CA-Root und Schlüssel habe ich nach der folgenden Anleitung erstellt:

http://www.debian-administration.org/articles/284

Anschließend habe ich folgende Einstellungen in der Konfidatei "000-default" von Apache2 vorgenommen:


-----------------------------------------------------------------------------------
NameVirtualHost *:443
<VirtualHost *:443>
ServerName www.identity-provider.de
ServerAdmin [email protected]
DocumentRoot /var/www

SSLEngine On
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP:+e NULL
SSLCertificateFile /etc/apache2/cert.pem
SSLCertificateKeyFile /etc/apache2/key.pem
SSLVerifyDepth 1
SSLCertificateChainFile /etc/apache2/cert.pem
SSLCACertificateFile /opt/CA/cacert.pem


SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

<Location /shibboleth-idp/AA>
#SSLVerifyClient optional_no_ca
SSLVerifyClient none
SSLOptions +ExportCertData -StdEnvVars
</Location>

# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
ErrorLog /var/log/apache2/error_443.log
CustomLog /var/log/apache2/access.log combined
</VirtualHost>
------------------------------------------------------------------------------------

Die Einträge von ssl.conf bei Apache2 sieht so aus:

------------------------------------------------------------------------------------
<IfModule mod_ssl.c>
#
# Pseudo Random Number Generator (PRNG):
# Configure one or more sources to seed the PRNG of the SSL library.
# The seed data should be of good random quality.
# WARNING! On some platforms /dev/random blocks if not enough entropy
# is available. This means you then cannot use the /dev/random device
# because it would lead to very long connection times (as long as
# it requires to make more entropy available). But usually those
# platforms additionally provide a /dev/urandom device which doesn't
# block. So, if available, use this one instead. Read the mod_ssl User
# Manual for more details.
#
SSLRandomSeed startup builtin
SSLRandomSeed startup file:/dev/urandom 512
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/urandom 512

##
## SSL Global Context
##
## All SSL configuration in this context applies both to
## the main server and all SSL-enabled virtual hosts.
##

#
# Some MIME-types for downloading Certificates and CRLs
#
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

# Pass Phrase Dialog:
# Configure the pass phrase gathering process.
# The filtering dialog program (`builtin' is a internal
# terminal dialog) has to provide the pass phrase on stdout.
SSLPassPhraseDialog builtin

# Inter-Process Session Cache:
# Configure the SSL Session Cache: First the mechanism
# to use and second the expiring timeout (in seconds).
#SSLSessionCache dbm:/var/run/apache2/ssl_scache
SSLSessionCache shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300

# Semaphore:
# Configure the path to the mutual exclusion semaphore the
# SSL engine uses internally for inter-process synchronization.
SSLMutex file:/var/run/apache2/ssl_mutex
</IfModule>
--------------------------------------------------------------------------------

Ich habe zwei Rechner laufen. Beide Debian. Auf einem habe ich einen DNS installiert.
Die Kommunikation erfolgt nur in meinem localen Netz.
Du hattest doch vermutet, dass die Fehlermeldung "...bad decompression" ein Problem mit zlib ist.
Ich habe nun gelesen, dass ssl optional die Komprimierung verwendet. Besteht hier eine Möglichkeit diese
zu deaktivieren?

Viele Grüße,
Scotty

Hallo Scott,

> meinen CA-Root und Schlüssel habe ich nach der folgenden Anleitung erstellt:
>
> http://www.debian-administration.org/articles/284

Dann sollte damit alles in Ordnung sein.

> Anschließend habe ich folgende Einstellungen in der Konfidatei "000-default"
> von Apache2 vorgenommen:
>
> -----------------------------------------------------------------------------------
> NameVirtualHost *:443
> <VirtualHost *:443>
> ServerName www.identity-provider.de

Das sieht auf den ersten Blick alles OK aus.
identity-provider.de gibt es nicht, das sollte in diesem Fall aber egal sein.

> Die Einträge von ssl.conf bei Apache2 sieht so aus:
>
> ------------------------------------------------------------------------------------
> <IfModule mod_ssl.c>

Das sieht auch OK aus.

> Ich habe zwei Rechner laufen. Beide Debian. Auf einem habe ich einen DNS
> installiert.
> Die Kommunikation erfolgt nur in meinem localen Netz.

Alles andere außer SSL funktioniert?

Ich habe schon Fälle erlebt, wo sich ein Rechner so verrannt hat, das er eine vollkommen falsche Fehlermeldung ausgegeben hat.
Meist die erstbeste, auf die er nach dem Fehler traf, nach dem Motto "Jetzt muß ich aber endlich mal den Fehler von vorhin melden, das hier ist eine Fehlermeldung, die nehme ich jetzt!" ;-)

> Du hattest doch vermutet, dass die Fehlermeldung "...bad decompression" ein
> Problem mit zlib ist.

Ja, weil OpenSSL die zlib für die Komprimierung nutzt (wenn es damit kompiliert wurde).
Selbst hatte ich so einen Fehler noch nie, da lief immer alles "out of the box".

> Ich habe nun gelesen, dass ssl optional die Komprimierung verwendet.

Ja: Wenn beide Partner Komprimierung können, wird eine Methode, die beide können, ausgewählt.

> Besteht hier eine Möglichkeit diese zu deaktivieren?

OpenSSL kann ohne zlib kompiliert werden. Aber das wäre etwas viel Aufwand.

Einen Schalter zum Deaktivieren der Komprimierung scheint es nicht zu geben, jedenfalls habe ich in der Doku nichts gefunden (oder die Option übersehen).
mod_ssl hat eine Environmentvariable, über die die verwendete Komprimierung abgefragt werden kann. Konfigurieren kann man sie aber anscheinend nicht.

MfG
Carsten