Apache+SSL

[keygen]

Добрый день.
Помогите решить проблемку:
Установил Apache22+mod_ssl на 7.0ю ветку,с генерировал сертификаты все следовал по http://www.lissyara.su/?id=1284
В результате не отображается корректно сайт без рисунков без нечего загружается по https://vhost.exemle.com/index.php а если хочешь перейти по какой то ссылке то он начинает обращаться как http://vhost.exemle.com:443/login.php.
как это решить?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

посомтртеь в логи веб сервера?

[keygen]

Та там нечего вообще не пишет такого начал тестировать убрал из конфа своего VirtualHosta все что звязано с SSL работает на ура...
вот конф

Код: Выделить всё

<VirtualHost IP:433>
    ServerAdmin noc@vhost.example.org.ua
    DocumentRoot /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    DirectoryIndex index.php index.html index.htm
    ServerName vhost.example.org.ua
    ErrorLog /usr/local/www/vhosts/our/vhost.example.org.ua/logs/error_log
    CustomLog /usr/local/www/vhosts/our/vhost.example.org.ua/logs/access_log common

    php_admin_flag engine on
    php_admin_flag allow_call_time_pass_reference on
    
    php_admin_flag expose_php off
    php_admin_flag safe_mode on
    php_admin_flag track_vars on
    php_admin_flag magic_quotes_runtime on
    php_admin_flag allow_url_fopen off
    php_admin_value doc_root /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    php_admin_value open_basedir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    php_admin_value safe_mode_exec_dir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/bin/
    php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH
    php_admin_value safe_mode_allowed_env_vars PHP_
    php_admin_value post_max_size 1M
    php_admin_value memory_limit 32M
    php_admin_value upload_tmp_dir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/tmp
    php_admin_value upload_max_filesize 1024000
    php_admin_flag mysql.allow_persistent on
    php_admin_value mysql.max_links 5

    <Directory "/usr/local/www/vhosts/our/vhost.example.org.ua/htdocs">
        Options Indexes FollowSymLinks
        Order allow,deny
        Allow from all
    </Directory>


SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/etc/apache22/vhost.example.org.ua.crt
SSLCertificateKeyFile /usr/local/etc/apache22/vhost.example.org.ua.key	
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/vhost/our/vhost.example.org.ua/htdocs">
SSLOptions +StdEnvVars
</Directory>						
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0 
CustomLog /var/log/httpd/ssl.log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

[Dolphin_BSD]

Добрый день !

Стояла у меня на Exim веб морда, да и ща стоит, доступ давал я по https c apache22. Сейчас ще сертификат устарел а вот тот скрипт что я раньше делал где то потерялся ((

Поискал на сайте и нашел статью єту
http://www.lissyara.su/?id=1284

Сделал как написано :

Код: Выделить всё

	#!/bin/sh
	
	openssl genrsa -des3 -rand /dev/random -out server.key 1024
	openssl rsa -in server.key -out server.pem
	openssl req -new -key server.key -out server.csr
	openssl x509 -req -days 365 -in server.csr -signkey \
        server.key -out server.crt

Запустил, заполнил ..., заменил файлики ключей и вот что получил

Код: Выделить всё

"IP-server" использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для Yura Shostka

(Код ошибки: sec_error_ca_cert_invalid)

Привожу данные :

httpd-ssl.conf

Код: Выделить всё

#####################
Listen 443

##
##  SSL Global Context
##

# Добавляем типы, для сертефикатов
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl

# На запрос пароля выполняем скрипт
SSLPassPhraseDialog exec:/usr/local/etc/apache22/sslpass.sh

# Параметры SSL кэша
SSLSessionCache        shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout  300
SSLMutex  file:/var/run/ssl_mutex

# Описываем виртуальный хост
<VirtualHost 212.109.42.226:443>

DocumentRoot "/var/www/mail/"
ServerName ssl.unix.fut-technologies.com.ua:443
ServerAdmin postmaster@fut-technologies.com.ua
ErrorLog /var/log/httpd-error.log
TransferLog /var/log/httpd-access.log

<Directory "/var/www/mail/">
        Options Indexes FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
        AuthType Basic
        AuthName 'Fut-Technologies Mail Server. Enter the password please'
        AuthGroupFile /usr/local/etc/apache22/apache_allow/mailgr
        AuthUserFile /usr/local/etc/apache22/apache_allow/mailusr
        Require group www
</Directory>

# Включаем режим SSL и указываем пути к сертефикатам
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile /usr/local/etc/apache22/server.crt
        SSLCertificateKeyFile /usr/local/etc/apache22/server.key

<FilesMatch "\.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/apache22/cgi-bin">
        SSLOptions +StdEnvVars
</Directory>

BrowserMatch ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog /var/log/httpd-ssl_request.log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
                                                                                                                                                             
</VirtualHost>

Код: Выделить всё

unix# cd /usr/local/etc/apache22/
unix# ls
Includes        envvars.d       httpd.conf      mime.types      server.csr      server.pem
apache_allow    extra           magic           server.crt      server.key      sslpass.sh
unix#

Код: Выделить всё

unix# cat /usr/local/etc/apache22/sslpass.sh
#!/bin/sh
echo passwd-my

/var/log/httpd-error.log

Код: Выделить всё

[Mon Mar 02 11:17:45 2009] [notice] caught SIGTERM, shutting down
[Mon Mar 02 11:17:47 2009] [warn] RSA server certificate CommonName (CN) `Yura Shostka' does NOT match server name!?
[Mon Mar 02 11:17:48 2009] [warn] RSA server certificate CommonName (CN) `Yura Shostka' does NOT match server name!?
[Mon Mar 02 11:17:48 2009] [notice] Digest: generating secret for digest authentication ...
[Mon Mar 02 11:17:48 2009] [notice] Digest: done
[Mon Mar 02 11:17:49 2009] [notice] Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch configured -- resuming normal operations
[Mon Mar 02 11:19:59 2009] [error] [client 213.169.71.210] File does not exist: /var/www/mail/favicon.ico

Подскажите в чем проблема то ... , как поправить ?!

Заранее спасибо !

[m0ps]

К сертификату нет доверия, так как он является самоподписанным.

ну правильно, ты ж их не подписал в официальном центре сертификации, а сам смастерил, вот тебе браузер и говорит, что доверия к такому сертификату нет. занеси его в исключения в браузере

[Dolphin_BSD]

Тобишь либо в историю, либо в базу !
А в базу платно ?

[hizel]

я обычно держу свою PKI с корневым сертификатом и особенно злобным клиентом даю корневой сертификат , все включая почту, веб etc подписываю этим корневым

[m0ps]

Тобишь либо в историю, либо в базу !
А в базу платно ?

а если перевести на русский?

[Dolphin_BSD]

подписать в официальном центре сертификации - платно ?

[m0ps]

понятное дело...
а где ты видел в нашем мире шару?

[Dolphin_BSD]

Что есть то есть !

А вот это я так и не понял .. (((

Код: Выделить всё

я обычно держу свою PKI с корневым сертификатом и особенно злобным клиентом даю корневой сертификат , все включая почту, веб etc подписываю этим корневым

[hizel]

в яндекс по запросу PKI

[aemon]

Установил по статье http://www.lissyara.su/?id=1284
однако при подключении ssl ругается и говорит

Код: Выделить всё

httpd: Syntax error on line 449 of /usr/local/etc/apache22/httpd.conf: Syntax error on line 242 of /usr/local/etc/apache22/extra/httpd-ssl.conf: Expected </> but saw </VirtualHost>

в гугле ничего конкретного по этому сообщению нет. Кто-то сталкивался с подобным?
Заранее спасибо

[aemon]

"а ларчик просто открывался". Все решилось путем исправления имени хоста в httpd-ssl.conf.

[bryce]

"а ларчик просто открывался". Все решилось путем исправления имени хоста в httpd-ssl.conf.

стал на те же грабли. можно по подробней по поводу исправления имени хоста?

[aemon]

По моим сегодняшним настройкам вижу следующее:

Код: Выделить всё

Listen <your IP>:443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog |/usr/local/etc/apache22/echo
SSLSessionCache         "dbm:/var/run/ssl_scache"
SSLSessionCache        "shmcb:/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/var/run/ssl_mutex"
<VirtualHost <your IP>:443>
DocumentRoot "/usr/local/www/virtual/xxxxxx.com.ua/htdocs/"
ServerName xxxxxx.com.ua

А вообще, если мне память не изменяет, в той сборке (их исходников собрал, а не из портов) была проблема с работой Apache по SSL. Сейчас я пересобрал его и все вроде работает стабильно ))))

[Mikola_guest]

Помогите с проблемой, перерыл уже весь инет ничего не помогает, может зациклился.
Прикручивал по статье Apache22+SSL
При доступе получаю ошибку:

Код: Выделить всё

78.36.107.15 - - [01/Sep/2010:16:52:05 +0400] "\x16\x03" 200 1901 "-" "-"

Краткий конфиг апача

Код: Выделить всё

ServerRoot "/usr/local"
Listen 80

LoadModule ssl_module libexec/apache22/mod_ssl.so

User www
Group www

DocumentRoot "/usr/local/www/xxxx"

<Directory />
    AllowOverride None
    Order deny,allow
    Deny from all
</Directory>

<Directory "/usr/local/www/xxxx">
    Options Indexes FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

<IfModule dir_module>
    DirectoryIndex index.html index.htm index.php
</IfModule>

<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

<IfModule mod_php5.c>
     AddType application/x-httpd-php .php
     AddType application/x-httpd-php-source .phps
</IfModule>

Include etc/apache22/extra/httpd-ssl.conf
Include etc/apache22/Includes/*.conf

Ну и дефолтный, почти как в статье конфиг httpd-ssl.conf.
И не работает. И понять никак не могу в чем проблема.
В общем если есть идеи, прошу помощи.

[y_scherbak]

В статье сказано, что диалог для пароля задается так

Код: Выделить всё

SSLPassPhraseDialog |/path/to/program,

но лучше было бы так, ИМХО,

Код: Выделить всё

SSLPassPhraseDialog exec:/path/to/program

[Пользователь]

В статье сказано, что диалог для пароля задается так

Код: Выделить всё

SSLPassPhraseDialog |/path/to/program,

но лучше было бы так, ИМХО,

Код: Выделить всё

SSLPassPhraseDialog exec:/path/to/program

Первый вариант не работает, только второй.

[gardener]

Утомительно мне было вводить passphrase при генерации ключей, поэтому модифицировал скриптик gen.sh
Может кому пригодится:

Код: Выделить всё

gateway# cat /root/gen_keys/gen.sh
#!/bin/sh

openssl genrsa -des3 -passout file:/root/gen_keys/passkey -rand /dev/random -out server.key 1024
openssl rsa -passin file:/root/gen_keys/passkey -in server.key -out server.pem
openssl req -passin file:/root/gen_keys/passkey -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -passin file:/root/gen_keys/passkey -signkey server.key -out server.crt

где файлик passkey содержит две(!) одинаковые строки. Первая для параметра -passin, и вторая для параметра -passout

И в заключении, у меня тоже сработал только второй (SSLPassPhraseDialog exec:/path/to/program) вариант.