SSL - serwer zewnętrzny

Witam serdecznie.
Jeśli piszę w nieodpowiednim dziale proszę o przeniesienie.

Otóż zwracam się do grona specjalistów w temacie Debiana i konfiguracji certyfikatu SSL na zewnętrznym serwerze.
Mój problem dotyczy bezpiecznego połączenia https://

OS: Debian Linux 8

Zakupiłem niedawno Certyfikat SSL przez home.pl u wystawcy certyfikatu Rapid SSL WildCard oraz zainstalowałem go niby poprawnie na firmowym serwerze. Jednak po wejściu w adres domeny https://strahlmann.pl strona nie odpowiada.

• myślałem że problem leży w zablokowanym porcie 443 ssl tcp jednak po sprawdzeniu na zewnątrz poprzez stronke http://www.yougetsignal.com/tools/open-ports/ Open Port 443 is open on 82.160.36.110
• tylko zastanawia mnie jedno - kiedy sprawdzam poprawność zainstalowanego tematu poprzez stronkę https://www.sslshopper.com/ssl-checker.html#hostname=strahlmann.pl - na dole jest informacja o zablokowanym porcie 443

No SSL certificates were found on strahlmann.pl. Make sure that the name resolves to the correct server and that the SSL port (default is 443) is open on your server's firewall.

Kiedy wchodzę na stronę poprzez lokalny adres serwera https:// jest przekreślony ale w szegółach domeny jest informacja o wystawcy certyfikatu, jego ważności , sile szyfrowania itd.

Czy spotkał się może ktoś z Was z podobnym problemem? Czy może coś pominąłem podczas konfiguracji całego certyfikatu SSL?
w załączeniu screeny ze stron sprawdzających czy porty są otwarte i poprawność zainstalowanego certyfikatu

A konfiguracje dla portu 443 dla apache/nginx ustawiłeś?

Kod błędu jest dość jasny, ustawiłeś nie takiego common name'a w CSRze. Zresztą, 5 sekund w google i ze strony RapidSSL Note: When generating your CSR, the character "*" must be used at the beginning of the Common Name.
A z tymi portami, eh, przecież to widać, port otwarty ale cert nie jest serwowany. Komunikat błędu tegoTwojego ssl checkera jest mylący. Nie pisałeś nic o architekturze, więc strzelam, że nie ma przekierowania z globalnego routera/loadbalancera na Twój serwer.

Tak wygląda plik apache2.conf - czy Twoim zdaniem to poprawna konfiguracja? Coś dodatkowo trzeba skonfigurować w plikach apache? Dodam, że port 443 jest przekierowany na adres z puli prywatnej serwera dla publicznego adresu, samo przekierowanie działa poprawnie na porcie 80 czyli samo strahlmann.pl poprawie odpowiada. https://strahlmann.pl niestety nie.

Zawartość .csr

CSR Information:
Common Name: strahlmann.pl
Organization: Reederei Strahlmann Branch Ofiice Szczecin Sp. z o.o.
Organization Unit: IT Department
Locality: Szczecin
State: Zachodniopomorskie
Country: PL

plik apache2.conf

<VirtualHost *:443>
ServerAdmin [email protected]
DocumentRoot /var/www/html
ServerName strahlmann.pl
ErrorLog /var/log/apache2/res-error.log
CustomLog /var/log/apache2/res-error.log combined
SSLEngine On
SSLCertificateFile /etc/ssl/strahlmann.pl.crt
SSLCertificateKeyFile /etc/ssl/strahlmann.pl.key
SSLCertificateChainFile /etc/ssl/intermediate.crt

<Location />
SSLRequireSSL On
SSLVerifyClient optional
SSLVerifyDepth 1
SSLOptions +StdEnvVars +StrictRequire
</Location>

</VirtualHost>

Czy prócz pliku apache2.conf trzeba coś gdzieś jeszcze ustawiać?

Zgodnie z tym co napisałem, common name w CSR powinien wyglądać tak:

Common Name: *strahlmann.pl

Apache działa i serwuje certa z portu 443, i nie widzę potrzeby by coś w nim zmieniać. Tak wnoszę po Twoim screenie gdzie otrzymałeś certa odpytując z sieci prywatnej. W swoich przekierowaniach musisz gdzieś mieć błąd bo port z zewnątrz jest otwarty ale nic nie przychodzi w odpowiedzi. Używasz jakieś reverse proxy do przekierowań? Haproxy? Nginx? Czy może coś od dostawcy? Sam bawiłem się tylko chmurką amazona i nie wiem jak do tematu podchodzą inni dostawcy. W każdym razie, apache słucha na 443 i wygląda na to, że nie dochodzą do niego zapytania z przestrzeni publicznej.

Dokładnie taka została zwrócona informacja z decodera .csr
jest gwiazdka.strahlmann.pl , a nie gwiazdka|strahlmann.pl

W załączeniu prtscr

A to ciekawe, a openssl parsuje poprawnie? openssl x509 -in certificate.crt -text -noout Jeśli tak, to nie wiem i chyba będziesz musiał uderzyć do supportu rapida.

(edit)
W sumie, jeśli nie sparsuje to tymbardziej będziesz musiał się do nich się zgłosić.

Podczas sprawdzenia poprawności połączenia taki wywala komuniakt:

~# openssl s_client -CApath /etc/ssl/ -connect strahlmann.pl:443  CONNECTED(00000003)
140700653704848:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 289 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1483091156
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---