* [Comm] httpd and virtualhosts and ssl @ 2005-08-24 13:23 Konstantin Polanskiy 2005-08-24 13:26 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 13:23 UTC (permalink / raw) To: community *This message was transferred with a trial version of CommuniGate(tm) Pro* Здравствуйте! Настроил httpd & openssl и настроил виртуальные хосты (например два) Один хост должен работать по 443 порту и он успешно это делает, а вот второй должен работать на 80 порту и он тоже как бы работает, но единственное, что он выдает так это Forbidden. До того как я настроил SSL, оба они прекрасно работали через hhtp! Где могут быть проблемы где искать?? ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:23 [Comm] httpd and virtualhosts and ssl Konstantin Polanskiy @ 2005-08-24 13:26 ` Michael Isachenkov 2005-08-24 13:32 ` Konstantin Polanskiy 2005-08-25 6:55 ` Konstantin Polanskiy 0 siblings, 2 replies; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 13:26 UTC (permalink / raw) To: ALT Linux Community > > Настроил httpd & openssl и настроил виртуальные хосты (например два) > Один хост должен работать по 443 порту и он успешно это делает, а вот второй > должен работать на 80 порту и он тоже как бы работает, но единственное, что > он выдает так это Forbidden. > До того как я настроил SSL, оба они прекрасно работали через hhtp! Конфиг в студию, телепаты в лучшем мире. -- /aphlux now: Goran Bregovic - Daddy, don't ever die on a friday ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:26 ` Michael Isachenkov @ 2005-08-24 13:32 ` Konstantin Polanskiy 2005-08-24 13:35 ` Michael Isachenkov 2005-08-25 6:55 ` Konstantin Polanskiy 1 sibling, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 13:32 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* И какой конкретно конфиг вам нужен, уважаемый?? > > Конфиг в студию, телепаты в лучшем мире. > > -- ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:32 ` Konstantin Polanskiy @ 2005-08-24 13:35 ` Michael Isachenkov 2005-08-24 13:52 ` Konstantin Polanskiy 0 siblings, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 13:35 UTC (permalink / raw) To: ALT Linux Community > И какой конкретно конфиг вам нужен, уважаемый?? Ну а как вы думаете? :) -- /aphlux now: Goran Bregovic - Prawy Do Lewego (Kayah) ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:35 ` Michael Isachenkov @ 2005-08-24 13:52 ` Konstantin Polanskiy 2005-08-24 14:04 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 13:52 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 1115 bytes --] Попробую угадать%) Listen 10.10.254.124:80 Listen 192.168.1.88:443 NameVirtualHost 192.168.1.88 <VirtualHost 192.168.1.88> ServerName hzz.hz.ru DocumentRoot /var/www/htdocs DirectoryIndex index.html SSLEngine on SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile conf/ssl/hz.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/hz.key SSLCACertificateFile /etc/httpd/conf/ssl/cert.crt #<Location /> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" ErrorLog logs/error_log TransferLog logs/access_log </VirtualHost> ################# IP-based Virtual Hosts NameVirtualHost 10.10.254.124 <VirtualHost 10.10.254.124> ServerName hz.ru </VirtualHost> ################# IP-based Virtual Hosts <VirtualHost 10.10.254.124> ServerAdmin hz@hz.ru ServerName 10.10.254.124 DocumentRoot /var/www/hz DirectoryIndex hzs.php ErrorLog logs/hz-error_log TransferLog logs/hz-access_log </VirtualHost> >> И какой конкретно конфиг вам нужен, уважаемый?? > > Ну а как вы думаете? :) > > -- [-- Attachment #2: Vhosts.txt --] [-- Type: text/plain, Size: 1016 bytes --] Listen 10.10.254.124:80 Listen 192.168.1.88:443 NameVirtualHost 192.168.1.88 <VirtualHost 192.168.1.88> ServerName hzz.hz.ru DocumentRoot /var/www/htdocs DirectoryIndex index.html SSLEngine on SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile conf/ssl/hz.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/hz.key SSLCACertificateFile /etc/httpd/conf/ssl/cert.crt #<Location /> SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" ErrorLog logs/utm-error_log TransferLog logs/utm-access_log </VirtualHost> ################# IP-based Virtual Hosts NameVirtualHost 10.10.254.124 <VirtualHost 10.10.254.124> ServerName hz.ru </VirtualHost> ################# IP-based Virtual Hosts <VirtualHost 10.10.254.124> ServerAdmin hz@hz.ru ServerName 10.10.254.124 DocumentRoot /var/www/hz DirectoryIndex hzs.php ErrorLog logs/hz-error_log TransferLog logs/hz-access_log </VirtualHost> ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:52 ` Konstantin Polanskiy @ 2005-08-24 14:04 ` Michael Isachenkov 2005-08-24 14:15 ` Konstantin Polanskiy 0 siblings, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 14:04 UTC (permalink / raw) To: ALT Linux Community > DocumentRoot /var/www/htdocs ... > DocumentRoot /var/www/hz то, что DocumentRoot разный - это так и надо? права на чтение каталога а файлов в нем у пользователя, от которого работает апач - есть? -- /aphlux now: Goran Bregovic - Duj Sandale ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 14:04 ` Michael Isachenkov @ 2005-08-24 14:15 ` Konstantin Polanskiy 2005-08-24 14:22 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 14:15 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* Да так и надо, права конечно есть веть они оба работали, до того как я поставил openssl >> DocumentRoot /var/www/htdocs > ... >> DocumentRoot /var/www/hz > > то, что DocumentRoot разный - это так и надо? права на чтение каталога а > файлов в нем у пользователя, от которого работает апач - есть? > ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 14:15 ` Konstantin Polanskiy @ 2005-08-24 14:22 ` Michael Isachenkov 2005-08-24 14:32 ` Konstantin Polanskiy 0 siblings, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 14:22 UTC (permalink / raw) To: ALT Linux Community > Да так и надо, права конечно есть веть они оба работали, до того как я > поставил openssl > > >> DocumentRoot /var/www/htdocs > > ... > >> DocumentRoot /var/www/hz > > > > то, что DocumentRoot разный - это так и надо? права на чтение каталога а > > файлов в нем у пользователя, от которого работает апач - есть? > > Так. Дальше. SSLCertificateFile conf/ssl/hz.crt - оно так должно работать разве? P.S. покажите тогда, плз, конфиг рабочего виртуалхоста без ssl. а заодно ls -la /var/www/htdocs/index.html -- /aphlux now: Goran Bregovic - Long Vehicle ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 14:22 ` Michael Isachenkov @ 2005-08-24 14:32 ` Konstantin Polanskiy 2005-08-24 14:54 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 14:32 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* Эх.... С SSL НЕТ ПРОБЛЕМ сертификаты работают (где создал там и должны быть) сайт доступен и им можно пользоватся! В файле index.html простой редирект на cgi скрипт и он тоже работает%))) Проблеммы с хостом который должен работать на 80 порту а он при обращении на него пишет: forbidden!!! >> > > > Так. Дальше. > SSLCertificateFile conf/ssl/hz.crt - оно так должно работать разве? > > P.S. покажите тогда, плз, конфиг рабочего виртуалхоста без ssl. > а заодно ls -la /var/www/htdocs/index.html > ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 14:32 ` Konstantin Polanskiy @ 2005-08-24 14:54 ` Michael Isachenkov 2005-08-24 15:02 ` Konstantin Polanskiy 0 siblings, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 14:54 UTC (permalink / raw) To: ALT Linux Community > Проблеммы с хостом который должен работать на 80 порту а он при обращении на > него пишет: forbidden!!! ls -la /var/www/hz/hzs.php ? -- /aphlux now: Goran Bregovic - Prawy Do Lewego (Kayah) ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 14:54 ` Michael Isachenkov @ 2005-08-24 15:02 ` Konstantin Polanskiy 2005-08-24 15:16 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-24 15:02 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* Это просто скрипты для сайта, это одна из страниц, я даже указывая в броузере прямые ссылки на разные скрипты получаю один ответ, так что дело не в этих скриптах как мне кажется и опять же напомню, что БЕЗ SSL все работает! Если я все возвращаю как было до этого, то все работает без проблем, но на 80х портах%((( > > ls -la /var/www/hz/hzs.php ? > ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 15:02 ` Konstantin Polanskiy @ 2005-08-24 15:16 ` Michael Isachenkov 2005-08-24 17:22 ` Polansky Konstantin 0 siblings, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-24 15:16 UTC (permalink / raw) To: ALT Linux Community > Это просто скрипты для сайта, это одна из страниц, я даже указывая в > броузере прямые ссылки на разные скрипты получаю один ответ, так что дело не > в этих скриптах как мне кажется и опять же напомню, что БЕЗ SSL все > работает! > Если я все возвращаю как было до этого, то все работает без проблем, но на > 80х портах%((( Т.е. _второй_ виртуалхост не работает, если в _первом_ включен SSL? Так. можно попробовать указать порт в <VirtualHost ...>. -- /aphlux now: Goran Bregovic - Czardsz (Ashik Cygan) ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 15:16 ` Michael Isachenkov @ 2005-08-24 17:22 ` Polansky Konstantin 2005-08-25 5:03 ` Alexander Volkov 0 siblings, 1 reply; 28+ messages in thread From: Polansky Konstantin @ 2005-08-24 17:22 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* > > в этих скриптах как мне кажется и опять же напомню, что БЕЗ SSL все > > работает! > > Если я все возвращаю как было до этого, то все работает без проблем, но на > > 80х портах%((( > > Т.е. _второй_ виртуалхост не работает, если в _первом_ включен SSL? > Так. можно попробовать указать порт в <VirtualHost ...>. > В этом случае apache стартует с ошибкой (такие порты уже используются) и не работает вообще Я тут нашел несколько док. завтра попробую написать во втором хосте SSLDisable, может поможет... ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 17:22 ` Polansky Konstantin @ 2005-08-25 5:03 ` Alexander Volkov 0 siblings, 0 replies; 28+ messages in thread From: Alexander Volkov @ 2005-08-25 5:03 UTC (permalink / raw) To: ALT Linux Community On Wed, 24 Aug 2005 21:22:17 +0400, Polansky Konstantin wrote: > Я тут нашел несколько док. завтра попробую > написать во втором хосте SSLDisable, может поможет... посмотри error.log, там должно быть разжёвано, на что именно forbidden -- Regards, Alexander. ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-24 13:26 ` Michael Isachenkov 2005-08-24 13:32 ` Konstantin Polanskiy @ 2005-08-25 6:55 ` Konstantin Polanskiy 2005-08-25 7:03 ` Michael Isachenkov 2005-08-25 8:27 ` [Comm] " Mike Lykov 1 sibling, 2 replies; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-25 6:55 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* >> >> Настроил httpd & openssl и настроил виртуальные хосты (например два) >> Один хост должен работать по 443 порту и он успешно это делает, а вот >> второй >> должен работать на 80 порту и он тоже как бы работает, но единственное, >> что >> он выдает так это Forbidden. >> До того как я настроил SSL, оба они прекрасно работали через hhtp! > > Конфиг в студию, телепаты в лучшем мире. > Итак, вот рабочий конфиг с которым ВСЕ заработало как надо!!! ################# Named VirtualHosts NameVirtualHost 192.168.1.88 <VirtualHost 192.168.1.88:443> SSLEngine on Port 443 ServerName hzz.ru DocumentRoot /var/www/htdocs/ DirectoryIndex index.html SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile conf/ssl/hzz.crt SSLCertificateKeyFile /etc/httpd/conf/ssl/hzz.key SSLCACertificateFile /etc/httpd/conf/ssl/cert.crt SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" ErrorLog logs/error_log TransferLog logs/access_log </VirtualHost> ################# IP-based Virtual Hosts NameVirtualHost 10.10.254.124 <VirtualHost 10.10.254.124> ServerName 10.10.254.124 </VirtualHost> ################# IP-based Virtual Hosts <VirtualHost 10.10.254.124:80> Port 80 ServerAdmin support@hz.ru ServerName 10.10.254.124 DocumentRoot /var/www/hz/ DirectoryIndex hz.php ErrorLog logs/hz-error_log TransferLog logs/hz-access_log </VirtualHost> ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-25 6:55 ` Konstantin Polanskiy @ 2005-08-25 7:03 ` Michael Isachenkov 2005-08-25 7:21 ` Konstantin Polanskiy 2005-08-25 8:27 ` [Comm] " Mike Lykov 1 sibling, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-25 7:03 UTC (permalink / raw) To: ALT Linux Community > Итак, вот рабочий конфиг с которым ВСЕ заработало как надо!!! прописанные порты помогли? ;) -- /aphlux now: Klaus Schulze & Pete Namlook - 03 ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-25 7:03 ` Michael Isachenkov @ 2005-08-25 7:21 ` Konstantin Polanskiy 2005-08-25 8:21 ` [Comm] " Michael Shigorin 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-25 7:21 UTC (permalink / raw) To: ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* <VirtualHost 192.168.1.88:443> Вот так не работало, а после того как я добавил строку Port 443 То наконец заработало%)) > >> Итак, вот рабочий конфиг с которым ВСЕ заработало как надо!!! > > прописанные порты помогли? ;) > > -- ^ permalink raw reply [flat|nested] 28+ messages in thread
* [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 7:21 ` Konstantin Polanskiy @ 2005-08-25 8:21 ` Michael Shigorin 2005-08-25 8:22 ` Michael Isachenkov 0 siblings, 1 reply; 28+ messages in thread From: Michael Shigorin @ 2005-08-25 8:21 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1.1: Type: text/plain, Size: 697 bytes --] On Thu, Aug 25, 2005 at 11:21:47AM +0400, Konstantin Polanskiy wrote: > Вот так не работало, а после того как я добавил строку > Port 443 > То наконец заработало%)) Уф. Там давно лежали грабли, до которых ни у кого не доходили руки хотя бы задокументировать. Если Вы возьмётесь повторить где-нить сбоку "с чистого листа", то давайте начнём с прилагаемого vhost config (рекомендую также почитать README и посмотреть, что конфигурация виртхостов из /etc/httpd/conf/vhost.d/*.conf включается автоматом). Было бы также неплохо повесить багу на mod_ssl, а то ещё опять ускользнёт. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #1.2: ssl.default-vhost.conf --] [-- Type: text/plain, Size: 6866 bytes --] ## ## SSL Virtual Host Context ## <VirtualHost _default_:443> # General setup for the virtual host DocumentRoot /home/httpd/html #ServerName new.host.name #ServerAdmin you@your.address ErrorLog logs/ssl-error_log TransferLog logs/ssl-access_log Port 443 # SSL Engine Switch: # Enable/Disable SSL for this virtual host. SSLEngine on # SSL Cipher Suite: # List the ciphers that the client is permitted to negotiate. # See the mod_ssl documentation for a complete list. #SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A test # certificate can be generated with `make certificate' under # built time. SSLCertificateFile conf/ssl/server.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. SSLCertificateKeyFile conf/ssl/server.key # Server Certificate Chain: # Point SSLCertificateChainFile at a file containing the # concatenation of PEM encoded CA certificates which form the # certificate chain for the server certificate. Alternatively # the referenced file can be the same as SSLCertificateFile # when the CA certificates are directly appended to the server # certificate for convinience. #SSLCertificateChainFile @@ServerRoot@@/conf/ssl/ssl.crt/ca.crt # Certificate Authority (CA): # Set the CA certificate verification path where to find CA # certificates for client authentication or alternatively one # huge file containing all of them (file must be PEM encoded) # Note: Inside SSLCACertificatePath you need hash symlinks # to point to the certificate files. Use the provided # Makefile to update the hash symlinks after changes. #SSLCACertificatePath @@ServerRoot@@/conf/ssl/ssl.crt #SSLCACertificateFile @@ServerRoot@@/conf/sssl/sl.crt/ca-bundle.crt # Certificate Revocation Lists (CRL): # Set the CA revocation path where to find CA CRLs for client # authentication or alternatively one huge file containing all # of them (file must be PEM encoded) # Note: Inside SSLCARevocationPath you need hash symlinks # to point to the certificate files. Use the provided # Makefile to update the hash symlinks after changes. #SSLCARevocationPath @@ServerRoot@@/conf/ssl/ssl.crl #SSLCARevocationFile @@ServerRoot@@/conf/ssl/ssl.crl/ca-bundle.crl # Client Authentication (Type): # Client certificate verification type and depth. Types are # none, optional, require and optional_no_ca. Depth is a # number which specifies how deeply to verify the certificate # issuer chain before deciding the certificate is not valid. #SSLVerifyClient require #SSLVerifyDepth 10 # Access Control: # With SSLRequire you can do per-directory access control based # on arbitrary complex boolean expressions containing server # variable checks and other lookup directives. The syntax is a # mixture between C and Perl. See the mod_ssl documentation # for more details. #<Location /> #SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ # and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \ # and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \ # and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ # and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \ # or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/ #</Location> # SSL Engine Options: # Set various options for the SSL engine. # FakeBasicAuth: # Translate the client X.509 into a Basic Authorisation. This means that # the standard Auth/DBMAuth methods can be used for access control. The # user name is the `one line' version of the client's X.509 certificate. # Note that no password is obtained from the user. Every entry in the user # file needs this password: `xxj31ZMTZzkVA'. # ExportCertData: # This exports two additional environment variables: SSL_CLIENT_CERT and # SSL_SERVER_CERT. These contain the PEM-encoded certificates of the # server (always existing) and the client (only existing when client # authentication is used). This can be used to import the certificates # into CGI scripts. # CompatEnvVars: # This exports obsolete environment variables for backward compatibility # to Apache-SSL 1.x, mod_ssl 2.0.x, Sioux 1.0 and Stronghold 2.x. Use this # to provide compatibility to existing CGI scripts. # StrictRequire: # This denies access when "SSLRequireSSL" or "SSLRequire" applied even # under a "Satisfy any" situation, i.e. when it applies access is denied # and no other module can change it. # OptRenegotiate: # This enables optimized SSL connection renegotiation handling when SSL # directives are used in per-directory context. #SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars +StrictRequire # SSL Protocol Adjustments: # The safe and default but still SSL/TLS standard compliant shutdown # approach is that mod_ssl sends the close notify alert but doesn't wait for # the close notify alert from client. When you need a different shutdown # approach you can use one of the following variables: # ssl-unclean-shutdown: # This forces an unclean shutdown when the connection is closed, i.e. no # SSL close notify alert is send or allowed to received. This violates # the SSL/TLS standard but is needed for some brain-dead browsers. Use # this when you receive I/O errors because of the standard approach where # mod_ssl sends the close notify alert. # ssl-accurate-shutdown: # This forces an accurate shutdown when the connection is closed, i.e. a # SSL close notify alert is send and mod_ssl waits for the close notify # alert of the client. This is 100% SSL/TLS standard compliant, but in # practice often causes hanging connections with brain-dead browsers. Use # this only for browsers where you know that their SSL implementation # works correctly. # Notice: Most problems of broken clients are also related to the HTTP # keep-alive facility, so you usually additionally want to disable # keep-alive for those clients, too. Use variable "nokeepalive" for this. SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown # Per-Server Logging: # The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis. CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 8:21 ` [Comm] " Michael Shigorin @ 2005-08-25 8:22 ` Michael Isachenkov 0 siblings, 0 replies; 28+ messages in thread From: Michael Isachenkov @ 2005-08-25 8:22 UTC (permalink / raw) To: shigorin, ALT Linux Community > Уф. Там давно лежали грабли, до которых ни у кого не доходили > руки хотя бы задокументировать. > > Если Вы возьмётесь повторить где-нить сбоку "с чистого листа", > то давайте начнём с прилагаемого vhost config (рекомендую также > почитать README и посмотреть, что конфигурация виртхостов из > /etc/httpd/conf/vhost.d/*.conf включается автоматом). > > Было бы также неплохо повесить багу на mod_ssl, а то ещё опять > ускользнёт. Миш, напомни, а зачем там вообще Port? Или я что-то путаю? -- /aphlux ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] httpd and virtualhosts and ssl 2005-08-25 6:55 ` Konstantin Polanskiy 2005-08-25 7:03 ` Michael Isachenkov @ 2005-08-25 8:27 ` Mike Lykov 2005-08-25 8:33 ` [Comm] " Michael Shigorin 1 sibling, 1 reply; 28+ messages in thread From: Mike Lykov @ 2005-08-25 8:27 UTC (permalink / raw) To: ALT Linux Community В сообщении от Четверг 25 Август 2005 11:55 Konstantin Polanskiy написал: > NameVirtualHost 10.10.254.124 > <VirtualHost 10.10.254.124> > ServerName 10.10.254.124 > </VirtualHost> > ################# IP-based Virtual Hosts > <VirtualHost 10.10.254.124:80> никак не пойму - зачем это дублирование? -- Mike Lykov Samara, "Vesna" parfum company, System administrator ^ permalink raw reply [flat|nested] 28+ messages in thread
* [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 8:27 ` [Comm] " Mike Lykov @ 2005-08-25 8:33 ` Michael Shigorin 2005-08-25 8:56 ` Mike Lykov 0 siblings, 1 reply; 28+ messages in thread From: Michael Shigorin @ 2005-08-25 8:33 UTC (permalink / raw) To: ALT Linux Community On Thu, Aug 25, 2005 at 01:27:49PM +0500, Mike Lykov wrote: > > NameVirtualHost 10.10.254.124 > > <VirtualHost 10.10.254.124> > > ServerName 10.10.254.124 > > </VirtualHost> > > ################# IP-based Virtual Hosts > > <VirtualHost 10.10.254.124:80> > никак не пойму - зачем это дублирование? Вообще не стесняйтесь вешать баги на плохие и невнятные примеры конфигов. По крайней мере в моих пакетах ;-) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 8:33 ` [Comm] " Michael Shigorin @ 2005-08-25 8:56 ` Mike Lykov 2005-08-25 9:32 ` Konstantin Polanskiy 0 siblings, 1 reply; 28+ messages in thread From: Mike Lykov @ 2005-08-25 8:56 UTC (permalink / raw) To: ALT Linux Community В сообщении от Четверг 25 Август 2005 13:33 Michael Shigorin написал: > > > NameVirtualHost 10.10.254.124 > > > <VirtualHost 10.10.254.124> > > > ServerName 10.10.254.124 > > > </VirtualHost> > > > ################# IP-based Virtual Hosts > > > <VirtualHost 10.10.254.124:80> > > никак не пойму - зачем это дублирование? > Вообще не стесняйтесь вешать баги на плохие и невнятные примеры > конфигов. По крайней мере в моих пакетах ;-) Я думал, этот конфиг составлен "Konstantin Polanskiy" <kostya@altertech.ru>, а не тобой в пакете ;) У него и спрашивал ;) -- Mike Lykov Samara, "Vesna" parfum company, System administrator ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 8:56 ` Mike Lykov @ 2005-08-25 9:32 ` Konstantin Polanskiy 2005-08-25 9:35 ` Michael Isachenkov 2005-08-25 9:37 ` [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) Michael Shigorin 0 siblings, 2 replies; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-25 9:32 UTC (permalink / raw) To: combr, combr, ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* > В сообщении от Четверг 25 Август 2005 13:33 Michael Shigorin написал: >> > > NameVirtualHost 10.10.254.124 >> > > <VirtualHost 10.10.254.124> >> > > ServerName 10.10.254.124 >> > > </VirtualHost> >> > > ################# IP-based Virtual Hosts >> > > <VirtualHost 10.10.254.124:80> >> > никак не пойму - зачем это дублирование? >> Вообще не стесняйтесь вешать баги на плохие и невнятные примеры >> конфигов. По крайней мере в моих пакетах ;-) > > Я думал, этот конфиг составлен "Konstantin Polanskiy" > <kostya@altertech.ru>, а > не тобой в пакете ;) У него и спрашивал ;) Вобщем все оказалось слишком запущено httpd по рестарту почему то не запускался, в ps awx, его не было, однако по netstat -nap он присутствовал и ни чего не работало, пришлось его снести kill -9 и перезапускать апач через стоп и старт, что привело к тому что я занимался чистым шаманством%))) В итоге я выяснил, что дублируюшие строчки действительно не нужны (наследство от 2.0 там без этого почемуто не работали виртуальные хосты). Строчка Port в конфиге Vhosts.conf не нужен. Изменен был HTTPD.CONF Port 443 Listen 443 Listen 80 В Vhosts.conf <VirtualHost 10.10.254.124:80> И <VirtualHost 192.168.1.88:80> Все проверил, именно в такой конфигурации все работает, осталось только не понятно почему по рестарту не хапается апач%((( ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 9:32 ` Konstantin Polanskiy @ 2005-08-25 9:35 ` Michael Isachenkov 2005-08-25 20:25 ` Michael Shigorin 2005-08-25 9:37 ` [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) Michael Shigorin 1 sibling, 1 reply; 28+ messages in thread From: Michael Isachenkov @ 2005-08-25 9:35 UTC (permalink / raw) To: ALT Linux Community > Все проверил, именно в такой конфигурации все работает, осталось только не > понятно почему по рестарту не хапается апач%((( а что именно происходит? пишет, что pid не найден? можно глянуть на предмет PidFile в httpd.conf -- /aphlux ^ permalink raw reply [flat|nested] 28+ messages in thread
* [Comm] Re: httpd and virtualhosts and ssl 2005-08-25 9:35 ` Michael Isachenkov @ 2005-08-25 20:25 ` Michael Shigorin 0 siblings, 0 replies; 28+ messages in thread From: Michael Shigorin @ 2005-08-25 20:25 UTC (permalink / raw) To: ALT Linux Community On Thu, Aug 25, 2005 at 01:35:42PM +0400, Michael Isachenkov wrote: > > Все проверил, именно в такой конфигурации все работает, осталось только не > > понятно почему по рестарту не хапается апач%((( > а что именно происходит? пишет, что pid не найден? можно > глянуть на предмет PidFile в httpd.conf Не, остаётся висеть на порту процесс недобитый. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 28+ messages in thread
* [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) 2005-08-25 9:32 ` Konstantin Polanskiy 2005-08-25 9:35 ` Michael Isachenkov @ 2005-08-25 9:37 ` Michael Shigorin 2005-08-26 12:04 ` Konstantin Polanskiy 1 sibling, 1 reply; 28+ messages in thread From: Michael Shigorin @ 2005-08-25 9:37 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 1462 bytes --] On Thu, Aug 25, 2005 at 01:32:13PM +0400, Konstantin Polanskiy wrote: > Вобщем все оказалось слишком запущено httpd по рестарту почему > то не запускался, в ps awx, его не было Кого? (libhttpd.ep там вполне могло присутствовать) > однако по netstat -nap он присутствовал и ни чего не работало, > пришлось его снести kill -9 и перезапускать апач через стоп и > старт, что привело к тому что я занимался чистым шаманством%))) В 1.3.33-alt3 (за прошедшие сутки анонсилось в sisyphus@ и backports@) в stop добавлено killall -9q libhttpd.ep -- поскольку более культурно отловить грабли то ли в apache, то ли именно в mod_ssl не удалось. Бишь весь поиск свёлся к "ну, где-то там что-то там", патчей и багрепортов на тему не обнаружено. > В итоге я выяснил, что дублируюшие строчки действительно не > нужны (наследство от 2.0 там без этого почемуто не работали > виртуальные хосты). Строчка Port в конфиге Vhosts.conf не > нужен. Изменен был HTTPD.CONF > Port 443 > Listen 443 > Listen 80 > > В Vhosts.conf > <VirtualHost 10.10.254.124:80> > И <VirtualHost 192.168.1.88:80> Вот потому и попросил "с чистого листа" проверить где-нить. Попробую добраться, но на самом деле пока нам не понадобится mod_ssl (а до сих пор этого удавалось избежать) -- "всё в ваших руках". И я бы отдал mod_ssl более заинтересованному человеку. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) 2005-08-25 9:37 ` [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) Michael Shigorin @ 2005-08-26 12:04 ` Konstantin Polanskiy 2005-09-03 13:28 ` [Comm] IA: mod_ssl sec update Michael Shigorin 0 siblings, 1 reply; 28+ messages in thread From: Konstantin Polanskiy @ 2005-08-26 12:04 UTC (permalink / raw) To: shigorin, ALT Linux Community *This message was transferred with a trial version of CommuniGate(tm) Pro* В дополнение ко всему уже отписаному, в файле ssl.default-vhosts.conf необходимо все закоментировать. зы. И я там ошибся, в хосте должно быть <192.168.1.88:443> а не <192.168.1.88:80> ^ permalink raw reply [flat|nested] 28+ messages in thread
* [Comm] IA: mod_ssl sec update 2005-08-26 12:04 ` Konstantin Polanskiy @ 2005-09-03 13:28 ` Michael Shigorin 0 siblings, 0 replies; 28+ messages in thread From: Michael Shigorin @ 2005-09-03 13:28 UTC (permalink / raw) To: ALT Linux Community [-- Attachment #1: Type: text/plain, Size: 614 bytes --] On Fri, Aug 26, 2005 at 04:04:25PM +0400, Konstantin Polanskiy wrote: > В дополнение ко всему уже отписаному, в файле > ssl.default-vhosts.conf необходимо все закоментировать. > зы. И я там ошибся, в хосте должно быть <192.168.1.88:443> а > не <192.168.1.88:80> Провёл тесты, посмотрел в другие сборки. Нахожу текущее состояние вполне корректным. Если это не так -- будьте добры, пример желаемой конфигурации в bugzilla на mod_ssl. Кстати, сегодня пошло обновление по безопасности в updates/2.4. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 28+ messages in thread
end of thread, other threads:[~2005-09-03 13:28 UTC | newest] Thread overview: 28+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-08-24 13:23 [Comm] httpd and virtualhosts and ssl Konstantin Polanskiy 2005-08-24 13:26 ` Michael Isachenkov 2005-08-24 13:32 ` Konstantin Polanskiy 2005-08-24 13:35 ` Michael Isachenkov 2005-08-24 13:52 ` Konstantin Polanskiy 2005-08-24 14:04 ` Michael Isachenkov 2005-08-24 14:15 ` Konstantin Polanskiy 2005-08-24 14:22 ` Michael Isachenkov 2005-08-24 14:32 ` Konstantin Polanskiy 2005-08-24 14:54 ` Michael Isachenkov 2005-08-24 15:02 ` Konstantin Polanskiy 2005-08-24 15:16 ` Michael Isachenkov 2005-08-24 17:22 ` Polansky Konstantin 2005-08-25 5:03 ` Alexander Volkov 2005-08-25 6:55 ` Konstantin Polanskiy 2005-08-25 7:03 ` Michael Isachenkov 2005-08-25 7:21 ` Konstantin Polanskiy 2005-08-25 8:21 ` [Comm] " Michael Shigorin 2005-08-25 8:22 ` Michael Isachenkov 2005-08-25 8:27 ` [Comm] " Mike Lykov 2005-08-25 8:33 ` [Comm] " Michael Shigorin 2005-08-25 8:56 ` Mike Lykov 2005-08-25 9:32 ` Konstantin Polanskiy 2005-08-25 9:35 ` Michael Isachenkov 2005-08-25 20:25 ` Michael Shigorin 2005-08-25 9:37 ` [Comm] btw, mod_ssl for sale (was: httpd and virtualhosts and ssl) Michael Shigorin 2005-08-26 12:04 ` Konstantin Polanskiy 2005-09-03 13:28 ` [Comm] IA: mod_ssl sec update Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git