* [devel] Проблема с mod_ssl
@ 2009-10-11 21:32 Денис Смирнов
2009-10-11 23:16 ` Dmitry V. Levin
2009-10-12 5:04 ` Aleksey Avdeev
0 siblings, 2 replies; 8+ messages in thread
From: Денис Смирнов @ 2009-10-11 21:32 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 815 bytes --]
Сейчас mod_ssl генерирует ключи в %pre, при этом никаких других штатных
способов создать автоматически ключик не предусмотрено.
При создании mkve bundle возникает естественная проблема -- ключ зашит в
бандл, и все пользователи этого bundle будут иметь идентичный ssl ключ.
С моей точки зрения это кошмар.
Правильно создавать ключ в initscript, но у mod_ssl нет initscript, ибо
это модуль к апачу. А апач не должен требовать для себя ssl, это лишняя
зависимость.
Вот такая вот неприятная ситуация.
Для себя я нашел пока выход грохать ключики в hook'ах, а потом создавать
их из firsttime.d, но это, как мне кажется, очень некрасивый способ.
Есть варианты лучше?
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-11 21:32 [devel] Проблема с mod_ssl Денис Смирнов
@ 2009-10-11 23:16 ` Dmitry V. Levin
2009-10-12 7:47 ` Денис Смирнов
2009-10-12 5:04 ` Aleksey Avdeev
1 sibling, 1 reply; 8+ messages in thread
From: Dmitry V. Levin @ 2009-10-11 23:16 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 769 bytes --]
On Mon, Oct 12, 2009 at 01:32:00AM +0400, Денис Смирнов wrote:
> Сейчас mod_ssl генерирует ключи в %pre, при этом никаких других штатных
> способов создать автоматически ключик не предусмотрено.
>
> При создании mkve bundle возникает естественная проблема -- ключ зашит в
> бандл, и все пользователи этого bundle будут иметь идентичный ssl ключ.
>
> С моей точки зрения это кошмар.
Раньше этот кошмар был в большинстве пакетов.
> Правильно создавать ключ в initscript, но у mod_ssl нет initscript, ибо
> это модуль к апачу. А апач не должен требовать для себя ssl, это лишняя
> зависимость.
>
> Вот такая вот неприятная ситуация.
В postfix была похожая ситуация, с тем лишь отличием, что ключ
не создавался вообще, см. bug#21164.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-11 21:32 [devel] Проблема с mod_ssl Денис Смирнов
2009-10-11 23:16 ` Dmitry V. Levin
@ 2009-10-12 5:04 ` Aleksey Avdeev
2009-10-12 9:15 ` Денис Смирнов
1 sibling, 1 reply; 8+ messages in thread
From: Aleksey Avdeev @ 2009-10-12 5:04 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 832 bytes --]
12.10.2009 01:32, Денис Смирнов пишет:
> Сейчас mod_ssl генерирует ключи в %pre, при этом никаких других штатных
> способов создать автоматически ключик не предусмотрено.
>
> При создании mkve bundle возникает естественная проблема -- ключ зашит в
> бандл, и все пользователи этого bundle будут иметь идентичный ssl ключ.
>
> С моей точки зрения это кошмар.
>
> Правильно создавать ключ в initscript, но у mod_ssl нет initscript, ибо
> это модуль к апачу. А апач не должен требовать для себя ssl, это лишняя
> зависимость.
>
> Вот такая вот неприятная ситуация.
Сейчас оба apache не соответствуют нашему ssl полиси (что-то я найти
его не могу, но помню что что-то такое у нас было). Приведение в планах,
но не близких... Прошу развесить на меня баги, если это актуально.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 554 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-11 23:16 ` Dmitry V. Levin
@ 2009-10-12 7:47 ` Денис Смирнов
0 siblings, 0 replies; 8+ messages in thread
From: Денис Смирнов @ 2009-10-12 7:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 645 bytes --]
On Mon, Oct 12, 2009 at 03:16:08AM +0400, Dmitry V. Levin wrote:
DVL> Раньше этот кошмар был в большинстве пакетов.
К счастью все меняется и кошмаров у нас со временем становится в
репозитории гораздо меньше.
DVL> В postfix была похожая ситуация, с тем лишь отличием, что ключ
DVL> не создавался вообще, см. bug#21164.
Т.е. сделать в mod_ssl скрипт, который запускать из apache initscript,
проверяя его на существование и экранируя от автопоиска requires с помощью
переменной?
Понял, делаю :)
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-12 5:04 ` Aleksey Avdeev
@ 2009-10-12 9:15 ` Денис Смирнов
2009-10-12 9:22 ` Michael Shigorin
0 siblings, 1 reply; 8+ messages in thread
From: Денис Смирнов @ 2009-10-12 9:15 UTC (permalink / raw)
To: ALT Linux Team development discussions; +Cc: mike
[-- Attachment #1: Type: text/plain, Size: 799 bytes --]
On Mon, Oct 12, 2009 at 09:04:33AM +0400, Aleksey Avdeev wrote:
AA> Сейчас оба apache не соответствуют нашему ssl полиси (что-то я найти
AA> его не могу, но помню что что-то такое у нас было). Приведение в планах,
AA> но не близких... Прошу развесить на меня баги, если это актуально.
У меня в git вариант исправления. На моей машине проверил что все
генерируется из инитскрипта.
Репозитории mod_ssl и apache.
http://git.altlinux.org/people/mithraen/packages/?p=apache.git;a=commitdiff;h=69d613f572fdc34990514bc6c12a6fbe190973a4
http://git.altlinux.org/people/mithraen/packages/?p=mod_ssl.git;a=commitdiff;h=140db3747f84b1a0a0fb06c3f37eadb44dbed8ae
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-12 9:15 ` Денис Смирнов
@ 2009-10-12 9:22 ` Michael Shigorin
2009-10-12 9:55 ` Денис Смирнов
0 siblings, 1 reply; 8+ messages in thread
From: Michael Shigorin @ 2009-10-12 9:22 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Oct 12, 2009 at 01:15:33PM +0400, Денис Смирнов wrote:
> > Сейчас оба apache не соответствуют нашему ssl полиси (что-то
> > я найти его не могу, но помню что что-то такое у нас было).
> > Приведение в планах, но не близких... Прошу развесить на меня
> > баги, если это актуально.
> У меня в git вариант исправления. На моей машине проверил что
> все генерируется из инитскрипта. Репозитории mod_ssl и apache.
А давай-ка я тебе правов выдам.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-12 9:22 ` Michael Shigorin
@ 2009-10-12 9:55 ` Денис Смирнов
2009-10-12 17:47 ` Michael Shigorin
0 siblings, 1 reply; 8+ messages in thread
From: Денис Смирнов @ 2009-10-12 9:55 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 279 bytes --]
On Mon, Oct 12, 2009 at 12:22:19PM +0300, Michael Shigorin wrote:
MS> А давай-ка я тебе правов выдам.
Хитрый :)
Заливать через git можно?
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] Проблема с mod_ssl
2009-10-12 9:55 ` Денис Смирнов
@ 2009-10-12 17:47 ` Michael Shigorin
0 siblings, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2009-10-12 17:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Mon, Oct 12, 2009 at 01:55:47PM +0400, Денис Смирнов wrote:
> MS> А давай-ка я тебе правов выдам.
> Хитрый :) Заливать через git можно?
Да, конечно.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2009-10-12 17:47 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-10-11 21:32 [devel] Проблема с mod_ssl Денис Смирнов
2009-10-11 23:16 ` Dmitry V. Levin
2009-10-12 7:47 ` Денис Смирнов
2009-10-12 5:04 ` Aleksey Avdeev
2009-10-12 9:15 ` Денис Смирнов
2009-10-12 9:22 ` Michael Shigorin
2009-10-12 9:55 ` Денис Смирнов
2009-10-12 17:47 ` Michael Shigorin
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git