On Tue, Jan 15, 2013 at 11:20:30PM +0400, Aleksey Avdeev wrote:
> 15.01.2013 22:47, Dmitry V. Levin пишет:
> > On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> >> Приветствую.
> >>
> >>   Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
> >> использование общесистемного хранилища сертификатов /var/lib/ssl.
> >> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> >> /etc/httpd2/conf/ssl.*.)
> >>
> >>   Пока планирую сделать в
> >> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
> >> настройки (в значениях помеченных "????" я неуверен):
> >>
> >> #   Server Certificate:
> >> #   Point SSLCertificateFile at a PEM encoded certificate.  If
> >> #   the certificate is encrypted, then you will be prompted for a
> >> #   pass phrase.  Note that a kill -HUP will prompt again.  Keep
> >> #   in mind that if you have both an RSA and a DSA certificate you
> >> #   can configure both in parallel (to also allow the use of DSA
> >> #   ciphers, etc.)
> >> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> > 
> > Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
> > имена файлов там должны быть сервис-специфичными, общеупотребительных
> > вариантов вроде server.crt следует избегать.
> 
>   OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
> apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?

Если бы httpd и httpd2 было бы невозможно установить в систему одновременно,
то можно было бы использовать для них общее имя.  Но лучше не рисковать и
просто дать каждому свое имя.

>   Если нет, то логично использовать имена демонов: httpd2.crt (для
> apache2) и httpd.crt (для apache).

Например, так.


-- 
ldv