Apache+SSL

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
keygen
рядовой
Сообщения: 11
Зарегистрирован: 2007-09-28 11:52:16

Apache+SSL

Непрочитанное сообщение keygen » 2008-12-19 11:06:00

Добрый день.
Помогите решить проблемку:
Установил Apache22+mod_ssl на 7.0ю ветку,с генерировал сертификаты все следовал по http://www.lissyara.su/?id=1284
В результате не отображается корректно сайт без рисунков без нечего загружается по https://vhost.exemle.com/index.php а если хочешь перейти по какой то ссылке то он начинает обращаться как http://vhost.exemle.com:443/login.php.
как это решить?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35139
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение Alex Keda » 2008-12-19 11:06:50

посомтртеь в логи веб сервера?
Убей их всех! Бог потом рассортирует...

keygen
рядовой
Сообщения: 11
Зарегистрирован: 2007-09-28 11:52:16

Re: Apache+SSL

Непрочитанное сообщение keygen » 2008-12-19 12:49:49

Та там нечего вообще не пишет такого начал тестировать убрал из конфа своего VirtualHosta все что звязано с SSL работает на ура...
вот конф

Код: Выделить всё

<VirtualHost IP:433>
    ServerAdmin noc@vhost.example.org.ua
    DocumentRoot /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    DirectoryIndex index.php index.html index.htm
    ServerName vhost.example.org.ua
    ErrorLog /usr/local/www/vhosts/our/vhost.example.org.ua/logs/error_log
    CustomLog /usr/local/www/vhosts/our/vhost.example.org.ua/logs/access_log common

    php_admin_flag engine on
    php_admin_flag allow_call_time_pass_reference on
    
    php_admin_flag expose_php off
    php_admin_flag safe_mode on
    php_admin_flag track_vars on
    php_admin_flag magic_quotes_runtime on
    php_admin_flag allow_url_fopen off
    php_admin_value doc_root /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    php_admin_value open_basedir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/
    php_admin_value safe_mode_exec_dir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/bin/
    php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH
    php_admin_value safe_mode_allowed_env_vars PHP_
    php_admin_value post_max_size 1M
    php_admin_value memory_limit 32M
    php_admin_value upload_tmp_dir /usr/local/www/vhosts/our/vhost.example.org.ua/htdocs/tmp
    php_admin_value upload_max_filesize 1024000
    php_admin_flag mysql.allow_persistent on
    php_admin_value mysql.max_links 5

    <Directory "/usr/local/www/vhosts/our/vhost.example.org.ua/htdocs">
        Options Indexes FollowSymLinks
        Order allow,deny
        Allow from all
    </Directory>


SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/etc/apache22/vhost.example.org.ua.crt
SSLCertificateKeyFile /usr/local/etc/apache22/vhost.example.org.ua.key	
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/vhost/our/vhost.example.org.ua/htdocs">
SSLOptions +StdEnvVars
</Directory>						
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0 
CustomLog /var/log/httpd/ssl.log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение Dolphin_BSD » 2009-03-02 12:34:43

Добрый день !

Стояла у меня на Exim веб морда, да и ща стоит, доступ давал я по https c apache22. Сейчас ще сертификат устарел а вот тот скрипт что я раньше делал где то потерялся ((

Поискал на сайте и нашел статью єту
http://www.lissyara.su/?id=1284

Сделал как написано :

Код: Выделить всё

	#!/bin/sh
	
	openssl genrsa -des3 -rand /dev/random -out server.key 1024
	openssl rsa -in server.key -out server.pem
	openssl req -new -key server.key -out server.csr
	openssl x509 -req -days 365 -in server.csr -signkey \
        server.key -out server.crt
Запустил, заполнил ..., заменил файлики ключей и вот что получил

Код: Выделить всё

"IP-server" использует недействительный сертификат безопасности.

К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для Yura Shostka

(Код ошибки: sec_error_ca_cert_invalid)
Привожу данные :

httpd-ssl.conf

Код: Выделить всё

#####################
Listen 443

##
##  SSL Global Context
##

# Добавляем типы, для сертефикатов
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl

# На запрос пароля выполняем скрипт
SSLPassPhraseDialog exec:/usr/local/etc/apache22/sslpass.sh

# Параметры SSL кэша
SSLSessionCache        shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout  300
SSLMutex  file:/var/run/ssl_mutex

# Описываем виртуальный хост
<VirtualHost 212.109.42.226:443>

DocumentRoot "/var/www/mail/"
ServerName ssl.unix.fut-technologies.com.ua:443
ServerAdmin postmaster@fut-technologies.com.ua
ErrorLog /var/log/httpd-error.log
TransferLog /var/log/httpd-access.log

<Directory "/var/www/mail/">
        Options Indexes FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
        AuthType Basic
        AuthName 'Fut-Technologies Mail Server. Enter the password please'
        AuthGroupFile /usr/local/etc/apache22/apache_allow/mailgr
        AuthUserFile /usr/local/etc/apache22/apache_allow/mailusr
        Require group www
</Directory>

# Включаем режим SSL и указываем пути к сертефикатам
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile /usr/local/etc/apache22/server.crt
        SSLCertificateKeyFile /usr/local/etc/apache22/server.key

<FilesMatch "\.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/www/apache22/cgi-bin">
        SSLOptions +StdEnvVars
</Directory>

BrowserMatch ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0

CustomLog /var/log/httpd-ssl_request.log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
                                                                                                                                                             
</VirtualHost>

Код: Выделить всё

unix# cd /usr/local/etc/apache22/
unix# ls
Includes        envvars.d       httpd.conf      mime.types      server.csr      server.pem
apache_allow    extra           magic           server.crt      server.key      sslpass.sh
unix#

Код: Выделить всё

unix# cat /usr/local/etc/apache22/sslpass.sh
#!/bin/sh
echo passwd-my
/var/log/httpd-error.log

Код: Выделить всё

[Mon Mar 02 11:17:45 2009] [notice] caught SIGTERM, shutting down
[Mon Mar 02 11:17:47 2009] [warn] RSA server certificate CommonName (CN) `Yura Shostka' does NOT match server name!?
[Mon Mar 02 11:17:48 2009] [warn] RSA server certificate CommonName (CN) `Yura Shostka' does NOT match server name!?
[Mon Mar 02 11:17:48 2009] [notice] Digest: generating secret for digest authentication ...
[Mon Mar 02 11:17:48 2009] [notice] Digest: done
[Mon Mar 02 11:17:49 2009] [notice] Apache/2.2.11 (FreeBSD) mod_ssl/2.2.11 OpenSSL/0.9.8e DAV/2 PHP/5.2.8 with Suhosin-Patch configured -- resuming normal operations
[Mon Mar 02 11:19:59 2009] [error] [client 213.169.71.210] File does not exist: /var/www/mail/favicon.ico
Подскажите в чем проблема то ... , как поправить ?!

Заранее спасибо !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение m0ps » 2009-03-02 17:19:16

К сертификату нет доверия, так как он является самоподписанным.
ну правильно, ты ж их не подписал в официальном центре сертификации, а сам смастерил, вот тебе браузер и говорит, что доверия к такому сертификату нет. занеси его в исключения в браузере

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение Dolphin_BSD » 2009-03-02 17:38:31

Тобишь либо в историю, либо в базу !
А в базу платно ?
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Apache+SSL

Непрочитанное сообщение hizel » 2009-03-02 17:40:48

я обычно держу свою PKI с корневым сертификатом и особенно злобным клиентом даю корневой сертификат , все включая почту, веб etc подписываю этим корневым
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение m0ps » 2009-03-02 23:05:23

Dolphin_BSD писал(а):Тобишь либо в историю, либо в базу !
А в базу платно ?
а если перевести на русский?

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение Dolphin_BSD » 2009-03-03 9:51:12

подписать в официальном центре сертификации - платно ?
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение m0ps » 2009-03-03 9:54:40

понятное дело...
а где ты видел в нашем мире шару?

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение Dolphin_BSD » 2009-03-03 10:01:59

:ROFL:

Что есть то есть !

А вот это я так и не понял .. (((

Код: Выделить всё

я обычно держу свою PKI с корневым сертификатом и особенно злобным клиентом даю корневой сертификат , все включая почту, веб etc подписываю этим корневым
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Apache+SSL

Непрочитанное сообщение hizel » 2009-03-03 10:41:30

в яндекс по запросу PKI
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение aemon » 2009-08-08 10:19:55

Установил по статье http://www.lissyara.su/?id=1284
однако при подключении ssl ругается и говорит

Код: Выделить всё

httpd: Syntax error on line 449 of /usr/local/etc/apache22/httpd.conf: Syntax error on line 242 of /usr/local/etc/apache22/extra/httpd-ssl.conf: Expected </> but saw </VirtualHost>
в гугле ничего конкретного по этому сообщению нет. Кто-то сталкивался с подобным?
Заранее спасибо
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение aemon » 2009-08-10 7:10:22

"а ларчик просто открывался". Все решилось путем исправления имени хоста в httpd-ssl.conf.
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

bryce
проходил мимо
Сообщения: 7
Зарегистрирован: 2010-01-31 0:50:23

Re: Apache+SSL

Непрочитанное сообщение bryce » 2010-01-31 0:56:49

aemon писал(а):"а ларчик просто открывался". Все решилось путем исправления имени хоста в httpd-ssl.conf.
стал на те же грабли. можно по подробней по поводу исправления имени хоста? :oops:

Аватара пользователя
aemon
мл. сержант
Сообщения: 114
Зарегистрирован: 2008-02-16 18:24:55
Откуда: Киев
Контактная информация:

Re: Apache+SSL

Непрочитанное сообщение aemon » 2010-02-01 10:38:43

По моим сегодняшним настройкам вижу следующее:

Код: Выделить всё

Listen <your IP>:443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog |/usr/local/etc/apache22/echo
SSLSessionCache         "dbm:/var/run/ssl_scache"
SSLSessionCache        "shmcb:/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/var/run/ssl_mutex"
<VirtualHost <your IP>:443>
DocumentRoot "/usr/local/www/virtual/xxxxxx.com.ua/htdocs/"
ServerName xxxxxx.com.ua
А вообще, если мне память не изменяет, в той сборке (их исходников собрал, а не из портов) была проблема с работой Apache по SSL. Сейчас я пересобрал его и все вроде работает стабильно ))))
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ

Mikola_guest
проходил мимо

Re: Apache+SSL

Непрочитанное сообщение Mikola_guest » 2010-09-01 16:03:40

Помогите с проблемой, перерыл уже весь инет ничего не помогает, может зациклился.
Прикручивал по статье Apache22+SSL
При доступе получаю ошибку:

Код: Выделить всё

78.36.107.15 - - [01/Sep/2010:16:52:05 +0400] "\x16\x03" 200 1901 "-" "-"
Краткий конфиг апача

Код: Выделить всё

ServerRoot "/usr/local"
Listen 80

LoadModule ssl_module libexec/apache22/mod_ssl.so

User www
Group www

DocumentRoot "/usr/local/www/xxxx"

<Directory />
    AllowOverride None
    Order deny,allow
    Deny from all
</Directory>

<Directory "/usr/local/www/xxxx">
    Options Indexes FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

<IfModule dir_module>
    DirectoryIndex index.html index.htm index.php
</IfModule>

<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

<IfModule mod_php5.c>
     AddType application/x-httpd-php .php
     AddType application/x-httpd-php-source .phps
</IfModule>

Include etc/apache22/extra/httpd-ssl.conf
Include etc/apache22/Includes/*.conf
Ну и дефолтный, почти как в статье конфиг httpd-ssl.conf.
И не работает. И понять никак не могу в чем проблема.
В общем если есть идеи, прошу помощи.

y_scherbak
проходил мимо
Сообщения: 1
Зарегистрирован: 2011-02-24 16:51:34

Re: Apache+SSL

Непрочитанное сообщение y_scherbak » 2011-02-24 16:52:55

В статье сказано, что диалог для пароля задается так

Код: Выделить всё

SSLPassPhraseDialog |/path/to/program,
но лучше было бы так, ИМХО,

Код: Выделить всё

SSLPassPhraseDialog exec:/path/to/program

Пользователь
проходил мимо

Re: Apache+SSL

Непрочитанное сообщение Пользователь » 2012-03-15 9:11:59

y_scherbak писал(а):В статье сказано, что диалог для пароля задается так

Код: Выделить всё

SSLPassPhraseDialog |/path/to/program,
но лучше было бы так, ИМХО,

Код: Выделить всё

SSLPassPhraseDialog exec:/path/to/program
Первый вариант не работает, только второй.

gardener
рядовой
Сообщения: 18
Зарегистрирован: 2012-01-25 19:11:14

Re: Apache+SSL

Непрочитанное сообщение gardener » 2012-08-10 23:19:28

Утомительно мне было вводить passphrase при генерации ключей, поэтому модифицировал скриптик gen.sh
Может кому пригодится:

Код: Выделить всё

gateway# cat /root/gen_keys/gen.sh
#!/bin/sh

openssl genrsa -des3 -passout file:/root/gen_keys/passkey -rand /dev/random -out server.key 1024
openssl rsa -passin file:/root/gen_keys/passkey -in server.key -out server.pem
openssl req -passin file:/root/gen_keys/passkey -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -passin file:/root/gen_keys/passkey -signkey server.key -out server.crt
где файлик passkey содержит две(!) одинаковые строки. Первая для параметра -passin, и вторая для параметра -passout

И в заключении, у меня тоже сработал только второй (SSLPassPhraseDialog exec:/path/to/program) вариант.