* [mdk-re] Apache+SSL
@ 2001-10-30 18:44 Artem K. Jouravsky
2001-10-30 21:10 ` AVL
0 siblings, 1 reply; 12+ messages in thread
From: Artem K. Jouravsky @ 2001-10-30 18:44 UTC (permalink / raw)
To: Spring 2001
Доброго времени суток!
Господа, подскажите хоть что-то! Измучился. Задача - поднять
веб-сервер с поддержкой SSL соединений, виртуальных хостов много
но надо чтоб SSL был хотя б у одного - не до жиру. Действия:
apt-get install mod_ssl, ставится нормально. Дописывает в конец
/etc/httpd/conf/httpd.conf строчку включения двух дополнительных
конфигов - mod_ssl.conf и ssl.default-vhost.conf. В первом ничего
не трогаю (наэкспериментировался уже по горло), во втором ..
тоже. Но надо хотя бы заменить сертификаты чтоб он распознавался
не как localhost, а чтоб снаружи можно было подойти. Выполняю
/usr/lib/ssl/mod_ssl/gid-mkcert.sh, получаю кучу файликов.
Копирую server.key и server.crt (и все остальные с именем
server.* до кучи) в папку /etc/httpd/conf/ssl, создаю там же
папку CA и копирую туда все файлики с именем ca.*. Расставляю
права. Стартую сервер, лезу в логи. Имеем:
error_log:
^^^^^^^^^^
[Tue Oct 30 18:34:41 2001] [notice] Apache/1.3.22 (ALT Linux/alt1) mod_ssl/2.8.5 OpenSSL/0.9.6b rus/PL30.9 configured -- resuming normal operations
[Tue Oct 30 18:34:41 2001] [notice] Accept mutex: sysvsem (Default: sysvsem)
ssl_engine_log:
^^^^^^^^^^^^^^^
[30/Oct/2001 18:34:38 08254] [info] Server: Apache/1.3.22, Interface: mod_ssl/2.8.5, Library: OpenSSL/0.9.6b
[30/Oct/2001 18:34:38 08254] [info] Init: 1st startup round (still not detached)
[30/Oct/2001 18:34:38 08254] [info] Init: Initializing OpenSSL library
[30/Oct/2001 18:34:38 08254] [info] Init: Loading certificate & private key of SSL-aware server ujo.int.ifirst.ru:443
[30/Oct/2001 18:34:38 08254] [info] Init: Requesting pass phrase via builtin terminal dialog
[30/Oct/2001 18:34:40 08254] [trace] Init: (ujo.int.ifirst.ru:443) encrypted RSA private key - pass phrase requested
[30/Oct/2001 18:34:40 08254] [info] Init: Wiped out the queried pass phrases from memory
[30/Oct/2001 18:34:40 08254] [info] Init: Seeding PRNG with 136 bytes of entropy
[30/Oct/2001 18:34:40 08254] [info] Init: Generating temporary RSA private keys (512/1024 bits)
[30/Oct/2001 18:34:41 08254] [info] Init: Configuring temporary DH parameters (512/1024 bits)
[30/Oct/2001 18:34:41 08255] [info] Init: 2nd startup round (already detached)
[30/Oct/2001 18:34:41 08255] [info] Init: Reinitializing OpenSSL library
[30/Oct/2001 18:34:41 08255] [info] Init: Created hash-table (250 buckets) in shared memory (512000 bytes) for SSL session cache
[30/Oct/2001 18:34:41 08255] [info] Init: Seeding PRNG with 136 bytes of entropy
[30/Oct/2001 18:34:41 08255] [info] Init: Configuring temporary RSA private keys (512/1024 bits)
[30/Oct/2001 18:34:41 08255] [info] Init: Configuring temporary DH parameters (512/1024 bits)
[30/Oct/2001 18:34:41 08255] [info] Init: Initializing (virtual) servers for SSL
[30/Oct/2001 18:34:41 08255] [info] Init: Configuring server ujo.int.ifirst.ru:443 for SSL protocol
[30/Oct/2001 18:34:41 08255] [trace] Init: (ujo.int.ifirst.ru:443) Creating new SSL context (protocols: SSLv2, SSLv3, TLSv1)
[30/Oct/2001 18:34:41 08255] [trace] Init: (ujo.int.ifirst.ru:443) Configuring RSA server certificate
[30/Oct/2001 18:34:41 08255] [info] Init: (ujo.int.ifirst.ru:443) RSA server certificate enables Server Gated Cryptography (SGC)
[30/Oct/2001 18:34:41 08255] [trace] Init: (ujo.int.ifirst.ru:443) Configuring RSA server private key
Типа думаю, все нормально. Фига!
[ujo@ujo doc]$ curl https://ujo.int.ifirst.ru/
curl: (35) SSL: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
error_log:
^^^^^^^^^^
[Tue Oct 30 18:46:24 2001] [error] [client 192.168.100.148] Invalid method in request ──...
[ujo@ujo doc]$ openssl s_client -connect ujo.int.ifirst.ru:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0809C7A0 [0809C7E8] (130 bytes => 130 (0x82))
0000 - 80 80 01 03 01 00 57 00-00 00 20 00 00 16 00 00 ......W... .....
0010 - 13 00 00 0a 07 00 c0 00-00 66 00 00 07 00 00 05 .........f......
0020 - 00 00 04 05 00 80 03 00-80 01 00 80 08 00 80 00 ................
0030 - 00 65 00 00 64 00 00 63-00 00 62 00 00 61 00 00 .e..d..c..b..a..
0040 - 60 00 00 15 00 00 12 00-00 09 06 00 40 00 00 14 `...........@...
0050 - 00 00 11 00 00 08 00 00-06 00 00 03 04 00 80 02 ................
0060 - 00 80 4e 54 5c 9c 2c 81-8a 5b e5 e6 51 23 d4 88 ..NT\.,..[..Q#..
0070 - c5 29 18 72 3b 38 86 25-d5 86 b3 de 2e ad c9 73 .).r;8.%.......s
0080 - 6e 06 n.
SSL_connect:SSLv2/v3 write client hello A
read from 0809C7A0 [080A1D48] (7 bytes => 7 (0x7))
0000 - 3c 21 44 4f 43 54 59 <!DOCTY
SSL_connect:error in SSLv2/v3 read server hello A
8291:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:460:
В логах при этом ничего не пишется. Что я не так делаю??? Третий день бьюсь,
перечитал кучу док... Вроде все правильно, нет мне просветления.
------
Best wishes,
+----------------------+--------------------------+
| ."-. | Work: +7-(095)-229-4278 |
| /X | _o.----. _ | ICQ: 103399444 |
|/\_ \/ / __ \_// ) | Artem K. Jouravsky |
|\__)-/_/\_____)____/ | http://www.ifirst.ru/ |
+----------------------+--------------------------+
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 18:44 [mdk-re] Apache+SSL Artem K. Jouravsky
@ 2001-10-30 21:10 ` AVL
2001-10-30 21:18 ` Michael Bykov
2001-10-30 21:20 ` Artem K. Jouravsky
0 siblings, 2 replies; 12+ messages in thread
From: AVL @ 2001-10-30 21:10 UTC (permalink / raw)
To: mandrake-russian
On Tue, 30 Oct 2001 18:49:09 +0300
"Artem K. Jouravsky" <ujo@ifirst.ru> wrote:
> В логах при этом ничего не пишется. Что я не так делаю??? Третий день бьюсь,
> перечитал кучу док... Вроде все правильно, нет мне просветления.
Надо было не биться три дня, а сразу здесь спросить.
Я не спец, но имхо это просто невозможно сделать.
Этот случай ведь везде указывают, как хрестоматийный.
Тут куча умных людей, надеюсь они вам скажут более определенно.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:10 ` AVL
@ 2001-10-30 21:18 ` Michael Bykov
2001-10-30 21:43 ` AVL
2001-10-30 21:20 ` Artem K. Jouravsky
1 sibling, 1 reply; 12+ messages in thread
From: Michael Bykov @ 2001-10-30 21:18 UTC (permalink / raw)
To: mandrake-russian
Привет, AVL
> On Tue, 30 Oct 2001 18:49:09 +0300
> "Artem K. Jouravsky" <ujo@ifirst.ru> wrote:
>
> > В логах при этом ничего не пишется. Что я не так делаю???
> Третий день бьюсь,
> > перечитал кучу док... Вроде все правильно, нет мне
> просветления.
>
> Надо было не биться три дня, а сразу здесь спросить.
> Я не спец, но имхо это просто невозможно сделать.
> Этот случай ведь везде указывают, как хрестоматийный.
> Тут куча умных людей, надеюсь они вам скажут более определенно.
>
Что-то я не пойму, простите. Что невозвожно? У меня работает -
много виртуальных, один ssl, что Артему и нужно. Но у меня все
самосборное, поэтому помочь Артему не могу.
--
M.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:18 ` Michael Bykov
@ 2001-10-30 21:43 ` AVL
2001-10-30 21:50 ` Michael Bykov
0 siblings, 1 reply; 12+ messages in thread
From: AVL @ 2001-10-30 21:43 UTC (permalink / raw)
To: mandrake-russian
On Tue, 30 Oct 2001 21:15:08 +0300
Michael Bykov <michael@michael.rsuh.ru> wrote:
> Привет, AVL
>
> Что-то я не пойму, простите. Что невозвожно? У меня работает -
> много виртуальных, один ssl, что Артему и нужно. Но у меня все
> самосборное, поэтому помочь Артему не могу.
как я понял, спросили про virtual hosts + ssl хотя бы для одного из них.
скорее всего именно named based.
Дайте значимый кусок своего конфига. Мне тоже интересно.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:43 ` AVL
@ 2001-10-30 21:50 ` Michael Bykov
2001-10-30 22:41 ` Artem K. Jouravsky
2001-10-30 22:42 ` Artem K. Jouravsky
0 siblings, 2 replies; 12+ messages in thread
From: Michael Bykov @ 2001-10-30 21:50 UTC (permalink / raw)
To: mandrake-russian
> как я понял, спросили про virtual hosts + ssl хотя бы для
> одного из них.
> скорее всего именно named based.
>
> Дайте значимый кусок своего конфига. Мне тоже интересно.
>
А. У меня сервер с ssl скомпилирован отдельно, мне кажется так
вообще удобней.
--
M.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:50 ` Michael Bykov
@ 2001-10-30 22:41 ` Artem K. Jouravsky
2001-10-30 22:42 ` Artem K. Jouravsky
1 sibling, 0 replies; 12+ messages in thread
From: Artem K. Jouravsky @ 2001-10-30 22:41 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте, Michael Bykov <michael@michael.rsuh.ru>!
От Tue, 30 Oct 2001 21:46:28 +0300 вы писали на тему Re: [mdk-re] Apache+SSL:
MB> > как я понял, спросили про virtual hosts + ssl хотя бы для
MB> > одного из них.
MB> > скорее всего именно named based.
MB> >
MB> > Дайте значимый кусок своего конфига. Мне тоже интересно.
MB> >
MB>
MB> А. У меня сервер с ssl скомпилирован отдельно, мне кажется
MB> так
MB> вообще удобней.
Т.е. mod_ssl собран внутрь апача? Или вы apache-ssl используете?
------
Best wishes,
+----------------------+--------------------------+
| ."-. | Work: +7-(095)-229-4278 |
| /X | _o.----. _ | ICQ: 103399444 |
|/\_ \/ / __ \_// ) | Artem K. Jouravsky |
|\__)-/_/\_____)____/ | http://www.ifirst.ru/ |
+----------------------+--------------------------+
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:50 ` Michael Bykov
2001-10-30 22:41 ` Artem K. Jouravsky
@ 2001-10-30 22:42 ` Artem K. Jouravsky
2001-10-31 9:13 ` Michael Bykov
1 sibling, 1 reply; 12+ messages in thread
From: Artem K. Jouravsky @ 2001-10-30 22:42 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте, Michael Bykov <michael@michael.rsuh.ru>!
От Tue, 30 Oct 2001 21:46:28 +0300 вы писали на тему Re: [mdk-re] Apache+SSL:
MB> > как я понял, спросили про virtual hosts + ssl хотя бы для
MB> > одного из них.
MB> > скорее всего именно named based.
MB> >
MB> > Дайте значимый кусок своего конфига. Мне тоже интересно.
MB> >
MB>
MB> А. У меня сервер с ssl скомпилирован отдельно, мне кажется
MB> так
MB> вообще удобней.
Т.е. он у вас совсем отдельно работает, и отдельно от обычного собран?
Один Listen 80 второй 443?
------
Best wishes,
+----------------------+--------------------------+
| ."-. | Work: +7-(095)-229-4278 |
| /X | _o.----. _ | ICQ: 103399444 |
|/\_ \/ / __ \_// ) | Artem K. Jouravsky |
|\__)-/_/\_____)____/ | http://www.ifirst.ru/ |
+----------------------+--------------------------+
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:10 ` AVL
2001-10-30 21:18 ` Michael Bykov
@ 2001-10-30 21:20 ` Artem K. Jouravsky
2001-10-31 0:13 ` Dmitry Solovyev
1 sibling, 1 reply; 12+ messages in thread
From: Artem K. Jouravsky @ 2001-10-30 21:20 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте, AVL <info@atmsk.ru>!
От Tue, 30 Oct 2001 21:14:29 +0300 вы писали на тему Re: [mdk-re] Apache+SSL:
> On Tue, 30 Oct 2001 18:49:09 +0300
> "Artem K. Jouravsky" <ujo@ifirst.ru> wrote:
>
> > В логах при этом ничего не пишется. Что я не так делаю???
> Третий день бьюсь,
> > перечитал кучу док... Вроде все правильно, нет мне
> просветления.
>
> Надо было не биться три дня, а сразу здесь спросить.
> Я не спец, но имхо это просто невозможно сделать.
> Этот случай ведь везде указывают, как хрестоматийный.
То что Name based VirtualHosts+SSL невозможно? Но... То есть
СОВСЕМ? Не в качестве варианта только один virtualhost с SSL
а остальные лесом, а вообще выбор типа или виртуальные хосты
или SSL?
> Тут куча умных людей, надеюсь они вам скажут более определенно.
Я тоже надеюсь :(
------
Best wishes,
+----------------------+--------------------------+
| ."-. | Work: +7-(095)-229-4278 |
| /X | _o.----. _ | ICQ: 103399444 |
|/\_ \/ / __ \_// ) | Artem K. Jouravsky |
|\__)-/_/\_____)____/ | http://www.ifirst.ru/ |
+----------------------+--------------------------+
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-30 21:20 ` Artem K. Jouravsky
@ 2001-10-31 0:13 ` Dmitry Solovyev
2001-10-31 13:10 ` Artem K. Jouravsky
0 siblings, 1 reply; 12+ messages in thread
From: Dmitry Solovyev @ 2001-10-31 0:13 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте!
> > > В логах при этом ничего не пишется. Что я не так делаю???
> > > Третий день бьюсь,
> > > перечитал кучу док... Вроде все правильно, нет мне
> > > просветления.
> > Надо было не биться три дня, а сразу здесь спросить.
> > Я не спец, но имхо это просто невозможно сделать.
> > Этот случай ведь везде указывают, как хрестоматийный.
> То что Name based VirtualHosts+SSL невозможно? Но... То есть
> СОВСЕМ? Не в качестве варианта только один virtualhost с SSL
> а остальные лесом, а вообще выбор типа или виртуальные хосты
> или SSL?
Во-1, это однозначно возможно, причем со стандартными apache &
mod_ssl . Причем возможна комбинация из любого количества name
based virtual hosts+SSL и любого без SSL, но при этом есть
тонкости.
Во-2, завтра (если не забуду) посмотрю конфиги, как это делается
(конфигуряет софтина сама по себе, так что на память не помню).
--
С уважением,
Дмитрий
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [mdk-re] Apache+SSL
2001-10-31 0:13 ` Dmitry Solovyev
@ 2001-10-31 13:10 ` Artem K. Jouravsky
2001-10-31 14:14 ` Dmitry Solovyev
0 siblings, 1 reply; 12+ messages in thread
From: Artem K. Jouravsky @ 2001-10-31 13:10 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте, Dmitry Solovyev <sokrat@ngs.ru>!
От Wed, 31 Oct 2001 03:17:23 +0600 вы писали на тему Re: [mdk-re] Apache+SSL:
DS> > > Я не спец, но имхо это просто невозможно сделать.
DS> > > Этот случай ведь везде указывают, как хрестоматийный.
DS> > То что Name based VirtualHosts+SSL невозможно? Но... То
DS> есть
DS> > СОВСЕМ? Не в качестве варианта только один virtualhost с
DS> SSL
DS> > а остальные лесом, а вообще выбор типа или виртуальные
DS> хосты
DS> > или SSL?
DS>
DS> Во-1, это однозначно возможно, причем со стандартными apache
DS> &
DS> mod_ssl . Причем возможна комбинация из любого количества
DS> name
DS> based virtual hosts+SSL и любого без SSL, но при этом есть
DS> тонкости.
DS>
DS> Во-2, завтра (если не забуду) посмотрю конфиги, как это
DS> делается
DS> (конфигуряет софтина сама по себе, так что на память не
DS> помню).
Буду очень признателен... А что за софтина?
------
Best wishes,
+----------------------+--------------------------+
| ."-. | Work: +7-(095)-229-4278 |
| /X | _o.----. _ | ICQ: 103399444 |
|/\_ \/ / __ \_// ) | Artem K. Jouravsky |
|\__)-/_/\_____)____/ | http://www.ifirst.ru/ |
+----------------------+--------------------------+
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2001-10-31 14:14 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-10-30 18:44 [mdk-re] Apache+SSL Artem K. Jouravsky
2001-10-30 21:10 ` AVL
2001-10-30 21:18 ` Michael Bykov
2001-10-30 21:43 ` AVL
2001-10-30 21:50 ` Michael Bykov
2001-10-30 22:41 ` Artem K. Jouravsky
2001-10-30 22:42 ` Artem K. Jouravsky
2001-10-31 9:13 ` Michael Bykov
2001-10-30 21:20 ` Artem K. Jouravsky
2001-10-31 0:13 ` Dmitry Solovyev
2001-10-31 13:10 ` Artem K. Jouravsky
2001-10-31 14:14 ` Dmitry Solovyev
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git