Настройка индейца {Решено!}
onegreyonewhite 30 сентября, 2009 - 12:01
Не понимаю как настроить SSL шифрование на apache2. Что надо прописать и где, чтоб нормально работало шифрование?
»
- Для комментирования войдите или зарегистрируйтесь
А что тут может быть такого
А что тут может быть такого принципиально сложного?
Если конечно не завязываться на авторизацию по клиентским сертификатам (там действительно появляется некоторое количество достаточно тонких моментов)...
Единственное --- необходимость отслеживать срок действия сертификата сервера.
Ну и потеря производительности.
ЗЫ: Если [вдруг] что-то не понятно --- спрашивай (лучше стучить в Jabber).
:wq
--
Live free or die
Собственно всё что мну нужно,
Собственно всё что мну нужно, это чтоб заходя через определённый домен врубалось шифрование. вот и всё! :)
Great minds have a purpose, other have a wishes. /Irving Washington/
.
Т.е. доменное имя известно.
Уже хорошо...
Но знаний по теме, увы, не наблюдаю.
Значит так:
1. Заходи в Jabber, расскажу;
2. Краткое резюме повесишь в этой теме (совместно с резолюцией "решено");
3. И готовься получить общественно-полезную нагрузку в тему :)
:wq
--
Live free or die
Сегодня просто физически не
Сегодня просто физически не могу в Jabber зайти ибо на работе завал...
Завтра буду примерно в это же время, если не сложно, то расскажешь ;)
Great minds have a purpose, other have a wishes. /Irving Washington/
+
1.прописываем -D SSL в опции запуска в /etc/conf.d/net и стираем оттуда -D DEFAULT_SSL (как то так)
2. создаем /etc/apache2/vhosts/ssl_vhosts.conf c примерно таким содержимым
Listen 443 ServerName myserver ServerAdmin NameVirtualHost a.b.c.d:443 <VirtualHost a.b.c.d:443> DocumentRoot /var/www/localhost/htdocs/directory-site ServerName www.mysite.ru ErrorLog /var/log/apache2/directory-site/error_log TransferLog /var/log/apache2/directory-site/access_log SSLCertificateFile /etc/apache2/ssl/apache.cert.cert SSLCertificateKeyFile /etc/apache2/ssl/apache.cert.key SSLEngine on <Directory "/var/www/localhost/htdocs/directory-site/"> Options Indexes FollowSymLinks AllowOverride none Order allow,deny Allow from all </Directory> </VirtualHost>3.создаем сертификаты
# openssl req -new > apache.cert.csr
# openssl rsa -in privkey.pem -out apache.cert.key
# openssl x509 -in apache.cert.csr -out apache.cert.cert -req -signkey apache.cert.key -days 3650
4. копируем их в /etc/apache2/ssl/
и запускаем апач через init.d/apache2
если во время запуска [!!] то смотрим в error_log'и
there is only war...
Вот это мне понятно! :)
Вот это мне понятно! :) Благодарю...
Great minds have a purpose, other have a wishes. /Irving Washington/
На самом деле процедура
На самом деле процедура генерации сертификатов сервера заслуживает куда бОльшего внимания.
Если клиентские сертификаты не нужны, то можно обойтись без сертификата центра авторизации. И тогда комплект сертификат/ключ генерится проще:
# openssl req -new -x509 -set_serial 13 -days 666 -subj '/C=RU/ST=RUSSIA/L=Moscow/O=BLAH/OU=BLAH-BLAH/CN=WEB-SERVER-DNS-NAME/emailAddress=postmaster@mydomain.ru' -keyout web-server.key -out web-server.crtДлина ключа предварительно прописывается в
/etc/ssl/openssl.cnf.Но. Если тебе нужен автоматический запуск сервера (в смысле чтобы web-сервер автоматически поднимался после [например] незапланированного отключения питания), то необходимо [как минимум] создать и прописать в конфигу виртуального SSL-хоста дешифрованный ключ сервера:
# openssl rsa -in web-server.key -out www.web-server.keyПрава навскидку не помню. Думай/проверяй сам.
В конфиге сервера прописывай последний файл ключа.
Иначе... Ну, сам увидишь :)
:wq
--
Live free or die