* [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
@ 2013-01-15 18:21 Aleksey Avdeev
2013-01-15 18:47 ` Dmitry V. Levin
2013-01-26 10:12 ` Aleksey Avdeev
0 siblings, 2 replies; 9+ messages in thread
From: Aleksey Avdeev @ 2013-01-15 18:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 3493 bytes --]
Приветствую.
Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
использование общесистемного хранилища сертификатов /var/lib/ssl.
(Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
/etc/httpd2/conf/ssl.*.)
Пока планирую сделать в
/etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
настройки (в значениях помеченных "????" я неуверен):
# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. Keep
# in mind that if you have both an RSA and a DSA certificate you
# can configure both in parallel (to also allow the use of DSA
# ciphers, etc.)
SSLCertificateFile "/var/lib/ssl/certs/server.crt"
#SSLCertificateFile "/var/lib/ssl/certs/server-dsa.crt"
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile "/var/lib/ssl/private/server.key"
#SSLCertificateKeyFile "/var/lib/ssl/private/server-dsa.key"
# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
#SSLCertificateChainFile "/var/lib/ssl/certs/ca-root.pem"
??????????????????????????????
# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA
# certificates for client authentication or alternatively one
# huge file containing all of them (file must be PEM encoded)
# Note: Inside SSLCACertificatePath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCACertificatePath "/var/lib/ssl/certs"
#SSLCACertificateFile "/var/lib/ssl/certs/ca-root.pem"
??????????????????????????????
# Certificate Revocation Lists (CRL):
# Set the CA revocation path where to find CA CRLs for client
# authentication or alternatively one huge file containing all
# of them (file must be PEM encoded)
# Note: Inside SSLCARevocationPath you need hash symlinks
# to point to the certificate files. Use the provided
# Makefile to update the hash symlinks after changes.
#SSLCARevocationPath "/var/lib/ssl/certs"
#SSLCARevocationFile "/var/lib/ssl/certs/ca-bundle.crl"
????????????????????????????????
При этом я исхожу из:
1. Сертификат сервера и его ключ -- /var/lib/ssl/certs/server.crt и
/var/lib/ssl/private/server.key. Файлы будут создаваться при старте
сервера, если их нет, а mod_ssl будет грузится. (Может быть осмысленнее
использовать www.*, вместо server.*?)
2. /var/lib/ssl/certs/ca-root.pem -- сертификат CA. Если я правильно
понял (из анализа системы, не знаю где оно у нас задокументировано), то
именно он используется в нашем домене.
Основной вопрос: насколько планируемое, для наших условий, правильно?
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 900 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 18:21 [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL Aleksey Avdeev
@ 2013-01-15 18:47 ` Dmitry V. Levin
2013-01-15 19:20 ` Aleksey Avdeev
2013-01-26 10:12 ` Aleksey Avdeev
1 sibling, 1 reply; 9+ messages in thread
From: Dmitry V. Levin @ 2013-01-15 18:47 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1136 bytes --]
On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> Приветствую.
>
> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
> использование общесистемного хранилища сертификатов /var/lib/ssl.
> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> /etc/httpd2/conf/ssl.*.)
>
> Пока планирую сделать в
> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
> настройки (в значениях помеченных "????" я неуверен):
>
> # Server Certificate:
> # Point SSLCertificateFile at a PEM encoded certificate. If
> # the certificate is encrypted, then you will be prompted for a
> # pass phrase. Note that a kill -HUP will prompt again. Keep
> # in mind that if you have both an RSA and a DSA certificate you
> # can configure both in parallel (to also allow the use of DSA
> # ciphers, etc.)
> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
имена файлов там должны быть сервис-специфичными, общеупотребительных
вариантов вроде server.crt следует избегать.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 18:47 ` Dmitry V. Levin
@ 2013-01-15 19:20 ` Aleksey Avdeev
2013-01-15 21:28 ` Dmitry V. Levin
2013-01-16 0:45 ` Alexei Takaseev
0 siblings, 2 replies; 9+ messages in thread
From: Aleksey Avdeev @ 2013-01-15 19:20 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1636 bytes --]
15.01.2013 22:47, Dmitry V. Levin пишет:
> On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
>> Приветствую.
>>
>> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
>> использование общесистемного хранилища сертификатов /var/lib/ssl.
>> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
>> /etc/httpd2/conf/ssl.*.)
>>
>> Пока планирую сделать в
>> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
>> настройки (в значениях помеченных "????" я неуверен):
>>
>> # Server Certificate:
>> # Point SSLCertificateFile at a PEM encoded certificate. If
>> # the certificate is encrypted, then you will be prompted for a
>> # pass phrase. Note that a kill -HUP will prompt again. Keep
>> # in mind that if you have both an RSA and a DSA certificate you
>> # can configure both in parallel (to also allow the use of DSA
>> # ciphers, etc.)
>> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
>
> Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
> имена файлов там должны быть сервис-специфичными, общеупотребительных
> вариантов вроде server.crt следует избегать.
OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?
Если да, то допустимо ли обозвать такой сертификат (и соответствующий
ему ключ) по подсистеме? Например, использовать www.crt в качестве имени
ключа?
Если нет, то логично использовать имена демонов: httpd2.crt (для
apache2) и httpd.crt (для apache).
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 900 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 19:20 ` Aleksey Avdeev
@ 2013-01-15 21:28 ` Dmitry V. Levin
2013-01-15 21:37 ` Aleksey Avdeev
2013-01-16 0:45 ` Alexei Takaseev
1 sibling, 1 reply; 9+ messages in thread
From: Dmitry V. Levin @ 2013-01-15 21:28 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1786 bytes --]
On Tue, Jan 15, 2013 at 11:20:30PM +0400, Aleksey Avdeev wrote:
> 15.01.2013 22:47, Dmitry V. Levin пишет:
> > On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> >> Приветствую.
> >>
> >> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
> >> использование общесистемного хранилища сертификатов /var/lib/ssl.
> >> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> >> /etc/httpd2/conf/ssl.*.)
> >>
> >> Пока планирую сделать в
> >> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
> >> настройки (в значениях помеченных "????" я неуверен):
> >>
> >> # Server Certificate:
> >> # Point SSLCertificateFile at a PEM encoded certificate. If
> >> # the certificate is encrypted, then you will be prompted for a
> >> # pass phrase. Note that a kill -HUP will prompt again. Keep
> >> # in mind that if you have both an RSA and a DSA certificate you
> >> # can configure both in parallel (to also allow the use of DSA
> >> # ciphers, etc.)
> >> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> >
> > Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
> > имена файлов там должны быть сервис-специфичными, общеупотребительных
> > вариантов вроде server.crt следует избегать.
>
> OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
> apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?
Если бы httpd и httpd2 было бы невозможно установить в систему одновременно,
то можно было бы использовать для них общее имя. Но лучше не рисковать и
просто дать каждому свое имя.
> Если нет, то логично использовать имена демонов: httpd2.crt (для
> apache2) и httpd.crt (для apache).
Например, так.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 21:28 ` Dmitry V. Levin
@ 2013-01-15 21:37 ` Aleksey Avdeev
2013-01-17 18:21 ` Michael Shigorin
0 siblings, 1 reply; 9+ messages in thread
From: Aleksey Avdeev @ 2013-01-15 21:37 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 715 bytes --]
16.01.2013 01:28, Dmitry V. Levin пишет:
> On Tue, Jan 15, 2013 at 11:20:30PM +0400, Aleksey Avdeev wrote:
...
>> OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
>> apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?
>
> Если бы httpd и httpd2 было бы невозможно установить в систему одновременно,
> то можно было бы использовать для них общее имя. Но лучше не рисковать и
> просто дать каждому свое имя.
OK.
>
>> Если нет, то логично использовать имена демонов: httpd2.crt (для
>> apache2) и httpd.crt (для apache).
>
> Например, так.
Тогда желающие использовать общий сертификат пусть делают симлинки.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 900 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 21:37 ` Aleksey Avdeev
@ 2013-01-17 18:21 ` Michael Shigorin
0 siblings, 0 replies; 9+ messages in thread
From: Michael Shigorin @ 2013-01-17 18:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Wed, Jan 16, 2013 at 01:37:36AM +0400, Aleksey Avdeev wrote:
> >> Если нет, то логично использовать имена демонов: httpd2.crt
> >> (для apache2) и httpd.crt (для apache).
> > Например, так.
> Тогда желающие использовать общий сертификат пусть делают симлинки.
Он явно будет недефолтным. :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 19:20 ` Aleksey Avdeev
2013-01-15 21:28 ` Dmitry V. Levin
@ 2013-01-16 0:45 ` Alexei Takaseev
1 sibling, 0 replies; 9+ messages in thread
From: Alexei Takaseev @ 2013-01-16 0:45 UTC (permalink / raw)
To: ALT Linux Team development discussions
----- Исходное сообщение -----
> От: "Aleksey Avdeev" <solo@solin.spb.ru>
> Кому: "ALT Linux Team development discussions" <devel@lists.altlinux.org>
> Отправленные: Среда, 16 Январь 2013 г 4:20:30
> Тема: Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
>
> 15.01.2013 22:47, Dmitry V. Levin пишет:
> > On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> >> Приветствую.
> >>
> >> Я планирую перевести дефолтные настройки
> >> apache2-mod_ssl{,-compat} на
> >> использование общесистемного хранилища сертификатов /var/lib/ssl.
> >> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> >> /etc/httpd2/conf/ssl.*.)
> >>
> >> Пока планирую сделать в
> >> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf
> >> такие
> >> настройки (в значениях помеченных "????" я неуверен):
> >>
> >> # Server Certificate:
> >> # Point SSLCertificateFile at a PEM encoded certificate. If
> >> # the certificate is encrypted, then you will be prompted for a
> >> # pass phrase. Note that a kill -HUP will prompt again. Keep
> >> # in mind that if you have both an RSA and a DSA certificate you
> >> # can configure both in parallel (to also allow the use of DSA
> >> # ciphers, etc.)
> >> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> >
> > Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище,
> > то
> > имена файлов там должны быть сервис-специфичными,
> > общеупотребительных
> > вариантов вроде server.crt следует избегать.
>
> OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
> apache (httpd2 и httpd) пользовались общими файлами
> сертификатов/ключей?
>
> Если да, то допустимо ли обозвать такой сертификат (и
> соответствующий
> ему ключ) по подсистеме? Например, использовать www.crt в качестве
> имени
> ключа?
Возможно имеет смысл пойти дальше, и назначать имена файлов site-специфично.
Пример для дефолтного сайта: http-default.crt. Потому что в системе вполне
могут появиться сайты с коммерческими сертификатами наравне с самоподписанными.
> Если нет, то логично использовать имена демонов: httpd2.crt (для
> apache2) и httpd.crt (для apache).
Файлы ключей и сертификатов от версии апача не зависят, потому достаточно и
там и там использовать одни и те же файлы.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-15 18:21 [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL Aleksey Avdeev
2013-01-15 18:47 ` Dmitry V. Levin
@ 2013-01-26 10:12 ` Aleksey Avdeev
2013-02-05 10:37 ` Aleksey Avdeev
1 sibling, 1 reply; 9+ messages in thread
From: Aleksey Avdeev @ 2013-01-26 10:12 UTC (permalink / raw)
To: ALT Linux Team development discussions; +Cc: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 5471 bytes --]
15.01.2013 22:21, Aleksey Avdeev пишет:
> Приветствую.
>
> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
> использование общесистемного хранилища сертификатов /var/lib/ssl.
> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> /etc/httpd2/conf/ssl.*.)
Содержащий данные изменения apache2-2.2.22-alt15 ушёл в Сизиф (см.
<http://git.altlinux.org/tasks/archive/done/_85/88057/logs/events.7.1.log>):
теперь при старте/рестарте сервера в /var/lib/ssl, средствами
cert-sh-functions, создаётся ключ и сертификат с именем httpd2, если
выполняются условия:
1. Существует /etc/httpd2/conf/mods-enabled/ssl.load (модуль ssl грузится).
2. Существует как минимум один файл (ссылка) из
/etc/httpd2/conf/sites-enabled/{000-,}default_https{,-compat}.conf (т.
е. используется что-то из
/etc/httpd2/conf/sites-available/default_https{-compat,}.conf).
3. В файлах п. 2 значения SSLCertificate{,Key}File соответствуют
умолчальным.
>
> Пока планирую сделать в
> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
> настройки (в значениях помеченных "????" я неуверен):
Сделано:
>
> # Server Certificate:
> # Point SSLCertificateFile at a PEM encoded certificate. If
> # the certificate is encrypted, then you will be prompted for a
> # pass phrase. Note that a kill -HUP will prompt again. Keep
> # in mind that if you have both an RSA and a DSA certificate you
> # can configure both in parallel (to also allow the use of DSA
> # ciphers, etc.)
> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> #SSLCertificateFile "/var/lib/ssl/certs/server-dsa.crt"
SSLCertificateFile "/var/lib/ssl/certs/httpd2.cert"
#SSLCertificateFile "/var/lib/ssl/certs/httpd2-dsa.cert"
>
> # Server Private Key:
> # If the key is not combined with the certificate, use this
> # directive to point at the key file. Keep in mind that if
> # you've both a RSA and a DSA private key you can configure
> # both in parallel (to also allow the use of DSA ciphers, etc.)
> SSLCertificateKeyFile "/var/lib/ssl/private/server.key"
> #SSLCertificateKeyFile "/var/lib/ssl/private/server-dsa.key"
SSLCertificateKeyFile "/var/lib/ssl/private/httpd2.key"
#SSLCertificateKeyFile "/var/lib/ssl/private/httpd2-dsa.key"
Для обеспечения преемственности настроек, при обновлении
apache2-mod_ssl{,-compat} <= 2.2.22-alt14 запускается триггер, который
при условиях (должны выполняться все):
1. Существовании старых сертификата и ключа (файлов
/etc/httpd2/conf/ssl.{crt/server.crt,key/server.key}).
2. Замены старого конфига
/etc/httpd2/conf/sites-available/default_https{-compat,}.conf на новый
(за счёт %config(noreplace), такое происходит только если поставленный
из пакета файл не редактировался).
В файлах /etc/httpd2/conf/sites-available/default_https{-compat,}.conf
для SSLCertificateKeyFile и SSLCertificateKeyFile сохраняется
использование старых значений:
# New certificate file
#SSLCertificateFile "/var/lib/ssl/certs/httpd2.cert"
# Old certificate file
SSLCertificateFile "/etc/httpd2/conf/ssl.crt/server.crt"
#SSLCertificateFile "/var/lib/ssl/certs/httpd2-dsa.cert"
и
# New certificate key file
#SSLCertificateKeyFile "/var/lib/ssl/private/httpd2.key"
# Old certificate key file
SSLCertificateKeyFile "/etc/httpd2/conf/ssl.key/server.key"
#SSLCertificateKeyFile "/var/lib/ssl/private/httpd2-dsa.key"
За счёт этого сохраняется использование старых ключа и сертификата (и
новые при этом не создаются).
>
> # Server Certificate Chain:
> # Point SSLCertificateChainFile at a file containing the
> # concatenation of PEM encoded CA certificates which form the
> # certificate chain for the server certificate. Alternatively
> # the referenced file can be the same as SSLCertificateFile
> # when the CA certificates are directly appended to the server
> # certificate for convinience.
> #SSLCertificateChainFile "/var/lib/ssl/certs/ca-root.pem"
#SSLCertificateChainFile "/var/lib/ssl/certs/ca-root.pem"
>
> # Certificate Authority (CA):
> # Set the CA certificate verification path where to find CA
> # certificates for client authentication or alternatively one
> # huge file containing all of them (file must be PEM encoded)
> # Note: Inside SSLCACertificatePath you need hash symlinks
> # to point to the certificate files. Use the provided
> # Makefile to update the hash symlinks after changes.
> #SSLCACertificatePath "/var/lib/ssl/certs"
> #SSLCACertificateFile "/var/lib/ssl/certs/ca-root.pem"
#SSLCACertificatePath "/var/lib/ssl/certs"
#SSLCACertificateFile "/var/lib/ssl/certs/ca-root.pem"
>
> # Certificate Revocation Lists (CRL):
> # Set the CA revocation path where to find CA CRLs for client
> # authentication or alternatively one huge file containing all
> # of them (file must be PEM encoded)
> # Note: Inside SSLCARevocationPath you need hash symlinks
> # to point to the certificate files. Use the provided
> # Makefile to update the hash symlinks after changes.
> #SSLCARevocationPath "/var/lib/ssl/certs"
> #SSLCARevocationFile "/var/lib/ssl/certs/ca-bundle.crl"
#SSLCARevocationPath "/var/lib/ssl/certs"
#SSLCARevocationFile "/var/lib/ssl/certs/ca-bundle.crl"
PS: В бранчи данный вариант отправлю примерно через неделю (если
проблемы не выплывут).
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 900 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
2013-01-26 10:12 ` Aleksey Avdeev
@ 2013-02-05 10:37 ` Aleksey Avdeev
0 siblings, 0 replies; 9+ messages in thread
From: Aleksey Avdeev @ 2013-02-05 10:37 UTC (permalink / raw)
To: ALT Linux Team development discussions
Cc: ALT Linux Sisyphus discussions, ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 6162 bytes --]
26.01.2013 14:12, Aleksey Avdeev пишет:
> 15.01.2013 22:21, Aleksey Avdeev пишет:
>> Приветствую.
>>
>> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
>> использование общесистемного хранилища сертификатов /var/lib/ssl.
>> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
>> /etc/httpd2/conf/ssl.*.)
>
> Содержащий данные изменения apache2-2.2.22-alt15 ушёл в Сизиф (см.
> <http://git.altlinux.org/tasks/archive/done/_85/88057/logs/events.7.1.log>):
Изменения добрались до бранчей:
t6 -- apache2-2.2.22-alt14.M60T.1 (см.
<http://git.altlinux.org/tasks/archive/done/_87/89218/logs/events.6.1.log>).
5.1 -- apache2-2.2.22-alt14.M51.1 (см.
<http://git.altlinux.org/tasks/archive/done/_87/89220/logs/events.3.1.log>).
5.0 -- apache2-2.2.22-alt14.M50.1 (см.
<http://git.altlinux.org/tasks/archive/done/_87/89225/logs/events.2.1.log>).
В p6 и p5 пакеты уйдут примерно через неделю.
> теперь при старте/рестарте сервера в /var/lib/ssl, средствами
> cert-sh-functions, создаётся ключ и сертификат с именем httpd2, если
> выполняются условия:
>
> 1. Существует /etc/httpd2/conf/mods-enabled/ssl.load (модуль ssl грузится).
>
> 2. Существует как минимум один файл (ссылка) из
> /etc/httpd2/conf/sites-enabled/{000-,}default_https{,-compat}.conf (т.
> е. используется что-то из
> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf).
>
> 3. В файлах п. 2 значения SSLCertificate{,Key}File соответствуют
> умолчальным.
>
>>
>> Пока планирую сделать в
>> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
>> настройки (в значениях помеченных "????" я неуверен):
>
> Сделано:
>
>>
>> # Server Certificate:
>> # Point SSLCertificateFile at a PEM encoded certificate. If
>> # the certificate is encrypted, then you will be prompted for a
>> # pass phrase. Note that a kill -HUP will prompt again. Keep
>> # in mind that if you have both an RSA and a DSA certificate you
>> # can configure both in parallel (to also allow the use of DSA
>> # ciphers, etc.)
>> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
>> #SSLCertificateFile "/var/lib/ssl/certs/server-dsa.crt"
>
> SSLCertificateFile "/var/lib/ssl/certs/httpd2.cert"
> #SSLCertificateFile "/var/lib/ssl/certs/httpd2-dsa.cert"
>
>>
>> # Server Private Key:
>> # If the key is not combined with the certificate, use this
>> # directive to point at the key file. Keep in mind that if
>> # you've both a RSA and a DSA private key you can configure
>> # both in parallel (to also allow the use of DSA ciphers, etc.)
>> SSLCertificateKeyFile "/var/lib/ssl/private/server.key"
>> #SSLCertificateKeyFile "/var/lib/ssl/private/server-dsa.key"
>
> SSLCertificateKeyFile "/var/lib/ssl/private/httpd2.key"
> #SSLCertificateKeyFile "/var/lib/ssl/private/httpd2-dsa.key"
>
> Для обеспечения преемственности настроек, при обновлении
> apache2-mod_ssl{,-compat} <= 2.2.22-alt14 запускается триггер, который
> при условиях (должны выполняться все):
>
> 1. Существовании старых сертификата и ключа (файлов
> /etc/httpd2/conf/ssl.{crt/server.crt,key/server.key}).
>
> 2. Замены старого конфига
> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf на новый
> (за счёт %config(noreplace), такое происходит только если поставленный
> из пакета файл не редактировался).
>
> В файлах /etc/httpd2/conf/sites-available/default_https{-compat,}.conf
> для SSLCertificateKeyFile и SSLCertificateKeyFile сохраняется
> использование старых значений:
>
> # New certificate file
> #SSLCertificateFile "/var/lib/ssl/certs/httpd2.cert"
> # Old certificate file
> SSLCertificateFile "/etc/httpd2/conf/ssl.crt/server.crt"
> #SSLCertificateFile "/var/lib/ssl/certs/httpd2-dsa.cert"
>
> и
>
> # New certificate key file
> #SSLCertificateKeyFile "/var/lib/ssl/private/httpd2.key"
> # Old certificate key file
> SSLCertificateKeyFile "/etc/httpd2/conf/ssl.key/server.key"
> #SSLCertificateKeyFile "/var/lib/ssl/private/httpd2-dsa.key"
>
> За счёт этого сохраняется использование старых ключа и сертификата (и
> новые при этом не создаются).
>
>>
>> # Server Certificate Chain:
>> # Point SSLCertificateChainFile at a file containing the
>> # concatenation of PEM encoded CA certificates which form the
>> # certificate chain for the server certificate. Alternatively
>> # the referenced file can be the same as SSLCertificateFile
>> # when the CA certificates are directly appended to the server
>> # certificate for convinience.
>> #SSLCertificateChainFile "/var/lib/ssl/certs/ca-root.pem"
>
> #SSLCertificateChainFile "/var/lib/ssl/certs/ca-root.pem"
>
>>
>> # Certificate Authority (CA):
>> # Set the CA certificate verification path where to find CA
>> # certificates for client authentication or alternatively one
>> # huge file containing all of them (file must be PEM encoded)
>> # Note: Inside SSLCACertificatePath you need hash symlinks
>> # to point to the certificate files. Use the provided
>> # Makefile to update the hash symlinks after changes.
>> #SSLCACertificatePath "/var/lib/ssl/certs"
>> #SSLCACertificateFile "/var/lib/ssl/certs/ca-root.pem"
>
> #SSLCACertificatePath "/var/lib/ssl/certs"
> #SSLCACertificateFile "/var/lib/ssl/certs/ca-root.pem"
>
>>
>> # Certificate Revocation Lists (CRL):
>> # Set the CA revocation path where to find CA CRLs for client
>> # authentication or alternatively one huge file containing all
>> # of them (file must be PEM encoded)
>> # Note: Inside SSLCARevocationPath you need hash symlinks
>> # to point to the certificate files. Use the provided
>> # Makefile to update the hash symlinks after changes.
>> #SSLCARevocationPath "/var/lib/ssl/certs"
>> #SSLCARevocationFile "/var/lib/ssl/certs/ca-bundle.crl"
>
> #SSLCARevocationPath "/var/lib/ssl/certs"
> #SSLCARevocationFile "/var/lib/ssl/certs/ca-bundle.crl"
>
> PS: В бранчи данный вариант отправлю примерно через неделю (если
> проблемы не выплывут).
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 900 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2013-02-05 10:37 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2013-01-15 18:21 [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL Aleksey Avdeev
2013-01-15 18:47 ` Dmitry V. Levin
2013-01-15 19:20 ` Aleksey Avdeev
2013-01-15 21:28 ` Dmitry V. Levin
2013-01-15 21:37 ` Aleksey Avdeev
2013-01-17 18:21 ` Michael Shigorin
2013-01-16 0:45 ` Alexei Takaseev
2013-01-26 10:12 ` Aleksey Avdeev
2013-02-05 10:37 ` Aleksey Avdeev
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git