DSM 5 und Owncloud Sync Client auf Mac OS X: SSL handshake error

luddi · 22. Apr 2014

Hallo,

mit dem Update von DSM 4.3 auf DSM 5.0 meldet der owncloud sync client (1.5.4) auf Mac OS X (10.9.2) ein "SSL handshake error".
Mit dem gleichen sync client und gleichem Betriebssystem gab es auf DSM 4.3 nie ein problem.

Der Zugriff erfolgte in der Vergangenheit immer über folgendes URL Schema:

Rich (BBCode):

https://domain.tld/owncloud

Dies führt nun ständig zu dem SSL handshake Fehler. Unter DSM 4.3 erfolgte zumindest eine Zertifikatswarnung die man explizit als Ausnahme hinzufügen konnte. Diese Warnung erscheint nun unter DSM 5.0 nicht.

Sobald der Zugriff jedoch über die interne IP Adresse erolgt, d.h.

Rich (BBCode):

https://LOCAL_IP/owncloud

erscheint jedenfalls die Zertifikatswarnung die man wiederum als Ausnahme hinzufügen kann.

Zusätzlich ist auch bekannt, dass der Zugriff über eine subdomain und einen virtuellen Host auch zum Erfolg führt.
D.h. versucht man folgende Adresse einzugeben bekommt man auch die Zertifikatswarnung.

Rich (BBCode):

https://cloud.domain.tld

Bekannt ist ja, dass mit dem Update auf DSM 5.0 der Apache Server auf die Version 2.2.23 und PHP auf die Version 5.3.21 aktualisiert wurden.
Wie wirkt sich dies aus und zum anderen wo findet man aktuell (DSM 5.0) die apache config dateien.

Es gibt einige Beiträge zu finden, jedoch nicht speziell für Synology.
z.B. Owncloud Forum oder github_issue_712.

Ich möchte weiterhin den Zugriff über "https://domain.tld/owncloud" vornehmen da ich im Moment keine sublevel domains registrieren kann.

Für Ideen und Lösungsansätze wäre ich euch dankbar.

Grüße
luddi

Anzeige · 22. Apr 2014

Hallo luddi,

Bücher und Hardware zum Thema gibt es bei Amazon: DSM 5 und Owncloud Sync Client auf Mac OS X: SSL handshake error

luddi · 26. Apr 2014

Problem gelöst!

Hallo community,

ich habe das beschriebene Problem nun gelöst.

Man muss lediglich die config Datei "httpd-ssl.conf-user" bearbeiten.

Diese befindet sich unter:

Rich (BBCode):

/etc/httpd/conf/extra

hier muss man den Parameter "ServerName domain.tld" in der Gruppe VirtualHost hinzufügen.

Rich (BBCode):

Include conf/extra/httpd-ssl.conf-common

NameVirtualHost *:443

<VirtualHost *:443>
    ServerName domain.tld
        
    SSLEngine on

    <FilesMatch "\.(cgi|shtml|phtml|php)$">

Den Vergleich beider Dateien (original und modifiziert) kann man in dem angehängten Bild einsehen.

diff_orig2custom_https-ssl.conf-user.jpg

Gruß
luddi

Sucram6 · 27. Apr 2014

Klasse, vielen Dank! Funktioniert!

clipboard · 29. Apr 2014

Sucram6 schrieb:
Klasse, vielen Dank! Funktioniert!

jetzt war ich voller Freude, und habe bei mir diese Config auch entsprechend geändert. Leider bringt das bei mir nichts. Immer noch Handshake Error. Komischerweise auf der IOS App und Browser nicht. Vielleicht noch jemand eine Idee?

Nachtrag: soeben selbst herausgefunden, ich Idiot darf natürlich nicht nur:

Rich (BBCode):

ServerName domain.tld

sondern, so, wie das Zertifikat lautet:

Rich (BBCode):

ServerName host.domain.tld

Danke und Gruss
clipboard

luddi · 30. Apr 2014

Hi,

ich gebe zu nicht explizit angegeben zu haben dass man den Paramter "ServerName" mit dem gleichen Eintrag zu setzen hat, wie das CN im Zertifikat hinterlegt ist.

In meinem ersten Beitrag verwies ich auf folgenden thread:

github_issue_712
you need to ensure that you have the correct server name set in your apache configuration. In your /etc/apache2/sites-enabled/default-ssl, make sure that the 'ServerName' setting matches your certificate CN. If for example you access your OwnCloud using https://cloud.yourdomain.com then your certificate CN should be cloud.yourdomain.com. If you access your OwnCloud using https://yourdomain.com/owncloud then your certificate CN should be yourdomain.com

Hier wird darauf hingewiesen dass der Parameter "ServerName" exakt mit dem CN des Zertifikats übereinstimmen muss.

Wer sich aber nicht festlegen möchte kann als Alternative auch folgendes eintragen:

Rich (BBCode):

ServerName *

Gruß
luddi

clipboard · 30. Apr 2014

hi luddi

Da hast du Recht. Bei mir ist es eine Weile her, als ich SSL Zeugs mit Apache machte. Deshalb stand ich etwas auf dem Schlauch. Aber mit * sollte es natürlich auch gehen.

Danke für den Hinweis

jus7incase · 22. Jul 2014

Hallo zusammen,

ich habe in /etc/httpd/conf/extra/httpd-ssl.conf-user

...
<VirtualHost *:443>
ServerName *
SSLEngine on
...

und die DS neu gestartet. Dennoch bekomme ich den SSL Handshake Failure.

Danach habe ich stattdessen eingetragen:

ServerName mysub.myddns.mytld

Dies hat schließlich funktioniert.

D.h. ein "*" als ServerName hat bei mir _nicht_ funktioniert.