Главная » Форум » Gentoo Linux » Системное администрирование

Apache 2.2.6 + SSL = ???

Heggi 7 ноября, 2007 - 22:15

Нужен Webserver с поддержкой SSL, т.к. апач уже стоял, решил примотать к нему SSL и не париться. Нашел доку: http://www.grena.spb.ru/linux_apachessl.html Весьма удачно, что оптимизирована под Gentoo. Настроил. Работает. Есть только одно огромное НО! А именно:
'...После того, как apache скажет, что перезагружен, он может в течении нескольких минут не отвечать на запросы. Это нормально, он там генерирует "secret for digest authentication"...'
И это при каждом запуске. Думает почти 5 минут! Это нормально???

‹ Статистика по трафику apache + ssl = нерешаймая проблема((( ›
»

Какова цель

Автор Anarchist, дата создания 8 ноября, 2007 - 11:18.

Какова цель внедрения SSL:
Только шифрование данных при передаче или также контроль доступа к ресурсу?

Какие сертификаты прописаны в httpd-ssl.conf?

ЗЫ: Блин... Придётся всё же статью переписывать...
--
Live free or die

»

Цель -

Автор Heggi, дата создания 8 ноября, 2007 - 22:47.

Цель - поддержка протокола SSL.
Виндовый клиент UTM, при переходе на сайт с балансом открывает адрес https://нашсайт
Все работает и по http, но клиента я не поправлю, поэтому приходится апач обучать ssl

а файла httpd-ssl.conf у меня нет. Он должен быть в /etc/apache2/ ?

»

Quote: Цель -

Автор Anarchist, дата создания 12 ноября, 2007 - 11:49.
Цитата:
Цель - поддержка протокола SSL.

Этот протокол может решать весьма различные задачи.
Об чём я и говорил в предыдущем посте.

Цитата:
Виндовый клиент UTM, при переходе на сайт с балансом открывает адрес https://нашсайт
Все работает и по http, но клиента я не поправлю, поэтому приходится апач обучать ssl

Этот виндовый клиент умеет интегрировать сертификаты?
Необходимо обеспечить только защиту данных при передаче, или ещё и контроль доступа, т.е. чтобы человек с левым клиентом UTM на смог попасть на сайт?

Цитата:
а файла httpd-ssl.conf у меня нет. Он должен быть в /etc/apache2/ ?

Ну дык создай его!
Тебе никто не запрещает :)
Для случая Gentoo - полагаю где-то в /etc/apache2/extra

--
Live free or die

»

Для случая с

Автор TigerJr, дата создания 12 ноября, 2007 - 13:41.

Для случая с гентоо /etc/apache2/modules.d/40_mod_ssl.conf
У меня всё дружно стоит и работает, и тоже UTM-5.2.1-005. При настройки проблем не возникало!

USE="The SOURCE", Luke ----------------------
Intel P4/Xeon Extended MCE MSRs 3200 x2 SMP IBM xSeries 346 ECY 4Gb/chip video ATI Radeon QY 8Mb/
Portage 2.1.3.12 (default-linux/x86/2007.0, gcc-4.2.1, glibc-2.6.1-r1, 2.6.22-gentoo-r5 i686)

»

2TigerJr Покажи

Автор Heggi, дата создания 12 ноября, 2007 - 20:44.

2TigerJr

Покажи свои конфиги, плиз.

»

Простой пенеос

Автор Anarchist, дата создания 13 ноября, 2007 - 12:10.

Простой пенеос конфигов тебе не поможет.
--
Live free or die

»

Требуется

Автор Heggi, дата создания 12 ноября, 2007 - 20:42.

Требуется только защита при передаче. Аутентификация и так встроена в клиента.

содержимое /etc/apache2/modules.d/40_mod_ssl.conf без коментариев:


SSLRandomSeed startup builtin
SSLRandomSeed connect builtin



AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex

В этом файле все оставлено поумолчанию...

»

Quote: содержимое

Автор Anarchist, дата создания 13 ноября, 2007 - 12:10.
Цитата:
содержимое /etc/apache2/modules.d/40_mod_ssl.conf без коментариев

httpd-ssl.conf - это такой конфиг, в котором умолчательным значениями ограничиваться низзя, ибо не заработает.

Не хватает как минимум сертификата/ключа сервера. С параметром: сертификат/ключ центра авторизации.
Прилизывать форматирование для размещения на форуме чесслово, лень.
Шуруп обещал где-нибудь порядка середины недели повесить правильную версию статьи.
Там этот момент разобран достаточно подробно.

--
Live free or die

»

2AnarchistДык, уже

Автор TigerJr, дата создания 13 ноября, 2007 - 19:18.

2Anarchist
Дык, уже работает, даже как часы!!! Как ты это обьяснишь???? ))))

Heggi написал(а):
Требуется только защита при передаче. Аутентификация и так встроена в клиента.

содержимое /etc/apache2/modules.d/40_mod_ssl.conf без коментариев:

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/run/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex

В этом файле все оставлено поумолчанию...

В этом файле я ни чего не менял

содержимое /etc/apache2/modules.d/41_mod_ssl.default-vhost.conf без коментариев:
modules.d # cat 41_mod_ssl.default-vhost.conf | grep -v '#'




DocumentRoot "/var/www/localhost/htdocs"
ServerName localhost:443
ErrorLog /var/log/apache2/ssl_error_log

TransferLog /var/log/apache2/ssl_access_log

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/stat_srv.crt
SSLCertificateKeyFile /etc/apache2/ssl/stat_srv.key

SSLOptions +StdEnvVars


SSLOptions +StdEnvVars


SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0


CustomLog /var/log/apache2/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"


RewriteEngine On
RewriteOptions inherit




Ну и в дефаулт хосте
stat modules.d # cat ../vhosts.d/03_stat_vhost.conf | grep -v '#'


SSLEngine on
SSLCertificateFile /etc/apache2/ssl/stat_srv.crt
SSLCertificateKeyFile /etc/apache2/ssl/stat_srv.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
ErrorLog /var/log/apache2/ssl_engine_log
CustomLog /var/log/apache2/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
DocumentRoot "/usr/local/apache/htdocs"
ServerName "stat.xxx.x"
ServerAdmin "ds@xxx.x"

ErrorLog "/usr/local/apache/logs/error_log"
CustomLog "/usr/local/apache/logs/access_log" common
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"

Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all


ServerEnvironment apache apache
MinSpareProcessors 4
MaxProcessors 20


AssignUserID apache apache
MaxClientsVHost 50



Только, судя по описанию, я генерировал файлы сертификации и ключа не совсем так как было описанно выше.

USE="The SOURCE", Luke ----------------------
Intel P4/Xeon Extended MCE MSRs 3200 x2 SMP IBM xSeries 346 ECY 4Gb/chip video ATI Radeon QY 8Mb/
Portage 2.1.3.12 (default-linux/x86/2007.0, gcc-4.2.1, glibc-2.6.1-r1, 2.6.22-gentoo-r5 i686)

»

Quote: Дык, уже

Автор Anarchist, дата создания 14 ноября, 2007 - 18:22.
Цитата:
Дык, уже работает, даже как часы!!! Как ты это обьяснишь???? ))))

Стандартностью задачи и применённого способа решения.
:)

Цитата:
Только, судя по описанию, я генерировал файлы сертификации и ключа не совсем так как было описанно выше.

У меня вообще сложилось такое ощущение, что команды генерации сертификатов сервера не приводилось.

Лично я придерживаюсь того мнения, что использование автоматически-дефолтного режима генерации сертификатов является не лучшим решением.

И, возвращаясь к теме, меня интересует: длина ключа сформированных сертификатов и источник использованного значения оной.
--
Live free or die

»

Quote: У меня

Автор TigerJr, дата создания 15 ноября, 2007 - 12:31.
Цитата:
У меня вообще сложилось такое ощущение, что команды генерации сертификатов сервера не приводилось.

Лично я придерживаюсь того мнения, что использование автоматически-дефолтного режима генерации сертификатов является не лучшим решением.

И, возвращаясь к теме, меня интересует: длина ключа сформированных сертификатов и источник использованного значения оной.

Смотри ссылку в первом посте, далее нажимаешь на неё, и смотриш пункт №3

USE="The SOURCE", Luke ----------------------
Intel P4/Xeon Extended MCE MSRs 3200 x2 SMP IBM xSeries 346 ECY 4Gb/chip video ATI Radeon QY 8Mb/
Portage 2.1.3.12 (default-linux/x86/2007.0, gcc-4.2.1, glibc-2.6.1-r1, 2.6.22-gentoo-r5 i686)

»

Это по причине

Автор sa10, дата создания 21 ноября, 2007 - 12:37.

Это по причине недостаточной этропии генератора случайных чисел на вашей машине
Установите у себя этот сервис
sys-apps/clrngd
Latest version available: 1.0.3
Latest version installed: 1.0.3
Size of downloaded files: [no/bad digest]
Homepage: http://echelon.pl/pubs/
Description: Clock randomness gathering daemon
License: GPL-2

И все будет хорошо

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".