PDA

Դիտել ողջ տարբերակը : ssl + Apache



david
12.08.2009, 14:33
Ժող կյանքս գնաց, կարող եք նկարագրել ինչպես apache - ի վրա ssl բրձրացնել, ինտերնետում նայում եմ կա լիքնա նկարագրություննեը, բայց չի ստացվում:
Այնպիսի տպավորություն է , որ vhost-ssl.conf - ում նշված դիռեկտորիայի մեջ index.* չկա

david
12.08.2009, 15:42
Հա մոռացա ասել որ Mozilla - ով տալիս է հետևյալ հաղորդագրությունը

"host" has sent an incorrect or unexpected message

ars83
12.08.2009, 15:56
Ժող կյանքս գնաց, կարող եք նկարագրել ինչպես apache - ի վրա ssl բրձրացնել, ինտերնետում նայում եմ կա լիքնա նկարագրություննեը, բայց չի ստացվում:
Այնպիսի տպավորություն է , որ vhost-ssl.conf - ում նշված դիռեկտորիայի մեջ index.* չկա

Ի՞նչ պլատֆորմ է (Linux (տեսակը), Windows)...
Մի քիչ մանրամասն գրիր` ի՞նչ ես արել, ի՞նչը չի ստացվում:

david
12.08.2009, 16:18
ars83 ջան ինչ մոտ SLES10+SP2(Suse Linux Enterprise Server)
Ինտերնետում կարդացի, որից հետո կիրառեցի հետևյալ հրամանները

openssl req -new -x509 -days 365 -sha1 -newkey rsa:1024 \
-nodes -keyout server.key -out server.crt \
openssl req -new -sha1 -newkey rsa:1024 -nodes \
-keyout server.key -out www.example.com.csr \
Որից հետո / դիրեկտորիայում ստեղծվեցին server.crt, server.key ,www.page.am.csr:
Սրանց գցեցի համապատասհանաբար իրենց կատալոգները
/etc/apache2/ssl.crt
/etc/apache2/ssl.key
/etc/apache2/ssl.csr
Որից հետո
Listen.conf - ում ավելացրեցի
Listen 443
httpd.conf - ում ավելացրեցի
Include /etc/apache2/vhost.d/vhost-ssl.conf
իսկ
սա էլ
vhost-ssl.conf
*********************************************************************
*********************************************************************
# Template for a VirtualHost with SSL
# Note: to use the template, rename it to /etc/apache2/vhost.d/yourvhost.conf.
# Files must have the .conf suffix to be loaded.
#
# See /usr/share/doc/packages/apache2/README.QUICKSTART for further hints
# about virtual hosts.

# NameVirtualHost statements should be added to /etc/apache2/listen.conf.

#
# This is the Apache server configuration file providing SSL support.
# It contains the configuration directives to instruct the server how to
# serve pages over an https connection. For detailing information about these
# directives see <URL:http://httpd.apache.org/docs-2.2/mod/mod_ssl.html>
#
# For the moment, see <URL:http://www.modssl.org/docs/> for this info.
# The documents are still being prepared from material donated by the
# modssl project.
#
# Do NOT simply read the instructions in here without understanding
# what they do. They're here only as hints or reminders. If you are unsure
# consult the online docs. You have been warned.
#

# Until documentation is completed, please check http://www.modssl.org/
# for additional config examples and module docmentation. Directives
# and features of mod_ssl are largely unchanged from the mod_ssl project
# for Apache 1.3.

<IfDefine SSL>
<IfDefine !NOSSL>

##
## SSL Virtual Host Context
##

<VirtualHost _default_:443>

# General setup for the virtual host
#DocumentRoot "/srv/www/htdocs"
DocumentRoot "/usr/local/www/data_secure"
ServerName www.page.am:443
#ServerAdmin [email protected]
ErrorLog /usr/local/log/page_ssl-error_log
TransferLog /usr/local/log/page_ssl-access_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on

# SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. Keep
# in mind that if you have both an RSA and a DSA certificate you
# can configure both in parallel (to also allow the use of DSA
# ciphers, etc.)
SSLCertificateFile /etc/apache2/ssl.crt/server.crt
#SSLCertificateFile /etc/apache2/ssl.crt/server-dsa.crt

# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
#SSLCertificateKeyFile /etc/apache2/ssl.key/server-dsa.key

# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
#SSLCertificateChainFile /etc/apache2/ssl.crt/ca.crt

# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCACertificatePath /etc/apache2/ssl.crt
#SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt

# Certificate Revocation Lists (CRL):
# Set the CA revocation path where to find CA CRLs for client
# authentication or alternatively one huge file containing all
# of them (file must be PEM encoded)
# Note: Inside SSLCARevocationPath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCARevocationPath /etc/apache2/ssl.crl
#SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl

# Client Authentication (Type):
# Client certificate verification type and depth. Types are
# none, optional, require and optional_no_ca. Depth is a
# number which specifies how deeply to verify the certificate
# issuer chain before deciding the certificate is not valid.
#SSLVerifyClient require
#SSLVerifyDepth 10

# Access Control:
# With SSLRequire you can do per-directory access control based
# on arbitrary complex boolean expressions containing server
# variable checks and other lookup directives. The syntax is a
# mixture between C and Perl. See the mod_ssl documentation
# for more details.
#<Location />
#SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
# and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
# and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
# and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
# and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \
# or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
#</Location>

# SSL Engine Options:
# Set various options for the SSL engine.
# o FakeBasicAuth:
# Translate the client X.509 into a Basic Authorisation. This means that
# the standard Auth/DBMAuth methods can be used for access control. The
# user name is the `one line' version of the client's X.509 certificate.
# Note that no password is obtained from the user. Every entry in the user
# file needs this password: `xxj31ZMTZzkVA'.
# o ExportCertData:
# This exports two additional environment variables: SSL_CLIENT_CERT and
# SSL_SERVER_CERT. These contain the PEM-encoded certificates of the
# server (always existing) and the client (only existing when client
# authentication is used). This can be used to import the certificates
# into CGI scripts.
# o StdEnvVars:
# This exports the standard SSL/TLS related `SSL_*' environment variables.
# Per default this exportation is switched off for performance reasons,
# because the extraction step is an expensive operation and is usually
# useless for serving static content. So one usually enables the
# exportation for CGI and SSI requests only.
# o CompatEnvVars:
# This exports obsolete environment variables for backward compatibility
# to Apache-SSL 1.x, mod_ssl 2.0.x, Sioux 1.0 and Stronghold 2.x. Use this
# to provide compatibility to existing CGI scripts.
# o StrictRequire:
# This denies access when "SSLRequireSSL" or "SSLRequire" applied even
# under a "Satisfy any" situation, i.e. when it applies access is denied
# and no other module can change it.
# o OptRenegotiate:
# This enables optimized SSL connection renegotiation handling when SSL
# directives are used in per-directory context.
#SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
#<Directory "/srv/www/cgi-bin">
<Directory "/usr/local/www/cgi-bin">
SSLOptions +StdEnvVars
</Directory>

# SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait for
# the close notify alert from client. When you need a different shutdown
# approach you can use one of the following variables:
# o ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates
# the SSL/TLS standard but is needed for some brain-dead browsers. Use
# this when you receive I/O errors because of the standard approach where
# mod_ssl sends the close notify alert.
# o ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation
# works correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
# their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
# "force-response-1.0" for this.
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog /var/log/apache2/ssl_request_log ssl_combined

</VirtualHost>

</IfDefine>
</IfDefine>
********************************************************
*******************************************************


Մի բան էլ կայքը նորմալ աշխատում է

ars83
12.08.2009, 16:29
Էջի հասցեն կասե՞ս, որը բացելիս՝ սխալն է առաջանում։

david
12.08.2009, 16:45
ars83 ,այդ մեքենքն դեռ պատրաստվում է , առանձին host - է լինելու, ու դեռ մացված չէ ցանցին
բրաուզերի հասցեի տողում հավաքում եմ https://ip/folder/

ars83
12.08.2009, 17:07
ssl.crt ֆայլը կարո՞ղ ես ցույց տալ:
ssl-ի սխալ է ինչ-որ:
error code-ը 12263 է՞:

david
12.08.2009, 17:25
հա կոդը 12263 է

server.crt - ն

********************************
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
***********************************************

Dead Knight
20.08.2009, 01:07
http://www.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html
12263 = SSL_ERROR_RX_RECORD_TOO_LONG
"SSL received a record that exceeded the maximum permissible length."
This generally indicates that the remote peer system has a flawed implementation of SSL, and is violating the SSL specification.

david
20.08.2009, 14:49
Dead Knight ջան ահկեղծ ասած ոչինչ չհասկացա.
Գիտես որտեղից կարող եմ կարդալ մանրամասն ssl տեղադրելու նկարագրություն

Dead Knight
20.08.2009, 20:43
Dead Knight ջան ահկեղծ ասած ոչինչ չհասկացա.
Գիտես որտեղից կարող եմ կարդալ մանրամասն ssl տեղադրելու նկարագրություն

http://netsago.org/ru/docs/2/5/

http://www.opennet.ru/cgi-bin/opennet/ks.cgi?mask=ssl

Ինձ թվում է այսքանը քեզ բավական է գաղափար կազմելու համար ու նաստրոյկա անելու համար

david
21.08.2009, 10:36
Dead Knight ջան այսպիսի մի բան եմ լսել ,ուզում եմ իմանալ դա ճիշտ է չէ

Ունեմ սերվեր , բնականաբար IP եմ դրել ու այդ իպ - ի վրա բացել եմ 13 site:
Լսել եմ որ հնարավոր չէ որ բոլոր սայթերի ադմինները մընել ssl - ով:
Այսինքն https:// պետք է լինի 1 ip և 1 անուն

Elmo
21.08.2009, 16:42
Dead Knight ջան այսպիսի մի բան եմ լսել ,ուզում եմ իմանալ դա ճիշտ է չէ

Ունեմ սերվեր , բնականաբար IP եմ դրել ու այդ իպ - ի վրա բացել եմ 13 site:
Լսել եմ որ հնարավոր չէ որ բոլոր սայթերի ադմինները մընել ssl - ով:
Այսինքն https:// պետք է լինի 1 ip և 1 անուն

Opennet -ում հետաքրիր բան գտա

<IfDefine SSL>

<VirtualHost _default_:443>
ServerAdmin [email protected]
DocumentRoot /usr/local/apache/share/htdocs
ServerName www.domain.com
ScriptAlias /cgi-bin/ /usr/local/apache/share/htdocs/cgi-bin/
SSLEngine on
SSLCertificateFile /usr/local/apache/etc/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/etc/ssl.key/server.pem
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
CustomLog /usr/local/apache/var/log/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
<VirtualHost>

<IfDefine>


եթե _default_ -ի փոխարեն գրես քո սայթի IP հասցեն ու քո 13 սայթերը ամեն մեկը առանձին IP հասցե ունենան ու էդքանն էլ դնես ապաչը կրող սերվերի ինտերֆեյսի վրա, կարաս <IfDefine SSL> <IfDefine> - մեջ 13 հատ էլ վիրտուալ հոսթ հայտարարես 13 տարբեր IP հասցեներով ու 13 տարբեր սերտիֆիկատներով :)

մանրամասները http://www.opennet.ru/base/dev/apache_mod_ssl.txt.html

ars83
21.08.2009, 19:36
Opennet -ում հետաքրիր բան գտա


եթե _default_ -ի փոխարեն գրես քո սայթի IP հասցեն ու քո 13 սայթերը ամեն մեկը առանձին IP հասցե ունենան ու էդքանն էլ դնես ապաչը կրող սերվերի ինտերֆեյսի վրա, կարաս <IfDefine SSL> <IfDefine> - մեջ 13 հատ էլ վիրտուալ հոսթ հայտարարես 13 տարբեր IP հասցեներով ու 13 տարբեր սերտիֆիկատներով :)

մանրամասները http://www.opennet.ru/base/dev/apache_mod_ssl.txt.html
*:443-ը չի աշխատի՞:
Երկու հատ տարբեր հավաստագրով չեմ փորձել, բայց նույն մեքենայի վրա երկու վիրտուալ հոսթ, որոնցից մեկը https-ի տակ է, մյուսը՝ http-ի փորձել եմ:

Elmo
21.08.2009, 23:23
*:443-ը չի աշխատի՞:
Երկու հատ տարբեր հավաստագրով չեմ փորձել, բայց նույն մեքենայի վրա երկու վիրտուալ հոսթ, որոնցից մեկը https-ի տակ է, մյուսը՝ http-ի փորձել եմ:

Էսօր մեր հոսթ ադմինի հետ քննարկեցի մի թեթև: Ասում ա եթե մի IP ա էլ դրա անվտանգությունը ո՞րն ա: Դրա համար ապաչի վրա շատ բան չկա: Բայց մոդուլներ կան, որոնք լավ լավ բաներ թողնում են անել:
Մեթոդը հենց տենց էլ նկարագրեց: Տոննայով վիրտուալ հոսթեր՝ ամեն մեկին համապատասխան IP ու ամեն մեկի վրա մեկական սերտիֆիկատ: Լավ պրոցեսսոր ու RAM ա պետք աչքիս:

david
08.09.2009, 08:57
Ողջույն:
Ունենք Apache + ssl որի վրա աշխոտում է www.site.am, կայքը ունի admin կատալոգ:
Խնդիրն այսպիսին է ;
http://www.site.am - լավ է
https://www.site.am - - > ուղարմել եմ անմիջապես admin կատալոգ ( որն գտնվում է www.site.am կատալոգի մեջ ) - լավ է

ԲԱՅՑ

եթե հավաքեմ http://www.site.am/admin - - > admin վահանակը կաշխատի - ՎԱՏ Է

Ինչպես admin մուտքը թույլ տալ միայն HTTPS:// - ով , ցանկալի է apache - հնարավորութնուններով
Նախապես շնորհակալ եմ