* [Sysadmins] Настройка SSL в apache2
@ 2010-11-24 8:39 Yury L.Olkov
2010-11-24 8:43 ` Dmitriy Kruglikov
2010-12-01 10:20 ` Дмитрий Дегтярев
0 siblings, 2 replies; 25+ messages in thread
From: Yury L.Olkov @ 2010-11-24 8:39 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Есть apache2 и несколько name based виртуальных хостов. На одном из них
потребовался SSL
Внятных инструкций найти не смог :( Ребята, кто может, напишите план
действий по настройке.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 8:39 [Sysadmins] Настройка SSL в apache2 Yury L.Olkov
@ 2010-11-24 8:43 ` Dmitriy Kruglikov
2010-11-24 9:03 ` Anton Gorlov
2010-12-01 9:29 ` Yury L.Olkov
2010-12-01 10:20 ` Дмитрий Дегтярев
1 sibling, 2 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 8:43 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 10:39 пользователь Yury L.Olkov написал:
> Есть apache2 и несколько name based виртуальных хостов. На одном из них
> потребовался SSL
В конфиге того хоста добавить нужные строки ...
Работает...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 8:43 ` Dmitriy Kruglikov
@ 2010-11-24 9:03 ` Anton Gorlov
2010-11-24 9:07 ` Dmitriy Kruglikov
2010-12-01 9:29 ` Yury L.Olkov
1 sibling, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2010-11-24 9:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 11:43, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 10:39 пользователь Yury L.Olkov написал:
>> Есть apache2 и несколько name based виртуальных хостов. На одном из них
>> потребовался SSL
> В конфиге того хоста добавить нужные строки ...
>
> Работает...
Смутно помнится что name based virtual host может быть только 1...
хотя мб путаю.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:03 ` Anton Gorlov
@ 2010-11-24 9:07 ` Dmitriy Kruglikov
2010-11-24 9:29 ` Anton Gorlov
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 9:07 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 11:03 пользователь Anton Gorlov написал:
> Смутно помнится что name based virtual host может быть только 1... хотя мб
> путаю.
Не претендую на истину в последней инстанции, но у меня несколько
конфигов, по именам...
name1.domain.ua
name2.domain.ua
...
nameN.domain.ua
Для каждого свой конфиг.
В одном из них прописано
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
и
SSLCertificateFile "/var/lib/ssl/certs/name1.pem"
SSLCertificateKeyFile "/var/lib/ssl/certs/name1.pem"
ну и все остальное, как обычно...
Не знаю, как по феншую, но у меня работает...
Каждый Vhost в своем /var/www/vhosts/name* живет и соседу не мешает...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:07 ` Dmitriy Kruglikov
@ 2010-11-24 9:29 ` Anton Gorlov
2010-11-24 9:34 ` Andrey Konnov
0 siblings, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2010-11-24 9:29 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:07, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 11:03 пользователь Anton Gorlov написал:
>
>> Смутно помнится что name based virtual host может быть только 1... хотя мб
>> путаю.
> Не претендую на истину в последней инстанции, но у меня несколько
> конфигов, по именам...
> name1.domain.ua
> name2.domain.ua
> ...
> nameN.domain.ua
>
> Для каждого свой конфиг.
> В одном из них прописано
не...имею ввиду что если в 1 прописано то в остальных уже не получится.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:29 ` Anton Gorlov
@ 2010-11-24 9:34 ` Andrey Konnov
2010-11-24 9:48 ` Dmitriy Kruglikov
0 siblings, 1 reply; 25+ messages in thread
From: Andrey Konnov @ 2010-11-24 9:34 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:29, Anton Gorlov пишет:
> 24.11.2010 12:07, Dmitriy Kruglikov пишет:
>> 24 ноября 2010 г. 11:03 пользователь Anton Gorlov написал:
>>
>>> Смутно помнится что name based virtual host может быть только 1...
>>> хотя мб
>>> путаю.
>> Не претендую на истину в последней инстанции, но у меня несколько
>> конфигов, по именам...
>> name1.domain.ua
>> name2.domain.ua
>> ...
>> nameN.domain.ua
>>
>> Для каждого свой конфиг.
>> В одном из них прописано
>
> не...имею ввиду что если в 1 прописано то в остальных уже не получится.
Получится. Если ничего не путаю, надо один сертификат на все виртуальные
хосты использовать.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Andrey Konnov
ankon at altlinux.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:34 ` Andrey Konnov
@ 2010-11-24 9:48 ` Dmitriy Kruglikov
2010-11-24 9:56 ` Alexei Takaseev
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 9:48 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 11:34 пользователь Andrey Konnov написал:
> Получится.
У меня ж получилось ;)
> Если ничего не путаю, надо один сертификат на все виртуальные
> хосты использовать.
У меня разные, но все работают...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:48 ` Dmitriy Kruglikov
@ 2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
` (2 more replies)
0 siblings, 3 replies; 25+ messages in thread
From: Alexei Takaseev @ 2010-11-24 9:56 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Сертификаты разные для разный name-хостов?
Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
как apache узнает к какому именно из виртуальных серверов обращение, и применяет
те настройки, которые определены для хоста "по-умолчанию".
Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
разные сертификаты будут работать.
----- Исходное сообщение -----
> От: "Dmitriy Kruglikov" <dmitriy.kruglikov@gmail.com>
> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Среда, 24 Ноябрь 2010 г 17:48:09
> Тема: Re: [Sysadmins] Настройка SSL в apache2
> 24 ноября 2010 г. 11:34 пользователь Andrey Konnov написал:
>
> > Получится.
> У меня ж получилось ;)
> > Если ничего не путаю, надо один сертификат на все виртуальные
> > хосты использовать.
> У меня разные, но все работают...
>
>
> --
> Best regards,
> Dmitriy Kruglikov.
> QString at, dot, mail, XMPP;
> at = "@";
> dot = ".";
> mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
> XMPP = $mail;
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
@ 2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:15 ` Sergey Vlasov
2010-11-25 5:03 ` Alexei Takaseev
2010-11-24 10:11 ` Andrey Konnov
2010-11-24 12:07 ` Anton Gorlov
2 siblings, 2 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
>
> Сертификаты разные для разный name-хостов?
Да... Каждый в своем конфиге прописан...
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
Ну, я таких подробностей не знал, вероятно, потому и получилось :)
Проверил, работает таки...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
@ 2010-11-24 10:11 ` Andrey Konnov
2010-11-24 10:14 ` Dmitriy Kruglikov
2010-11-24 12:07 ` Anton Gorlov
2 siblings, 1 reply; 25+ messages in thread
From: Andrey Konnov @ 2010-11-24 10:11 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:56, Alexei Takaseev пишет:
>
> Сертификаты разные для разный name-хостов?
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
>
Угу, мне тоже интересно.
> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
> разные сертификаты будут работать.
Вроде можно еще на разные порты повесить.
>
> ----- Исходное сообщение -----
>> От: "Dmitriy Kruglikov" <dmitriy.kruglikov@gmail.com>
>> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
>> Отправленные: Среда, 24 Ноябрь 2010 г 17:48:09
>> Тема: Re: [Sysadmins] Настройка SSL в apache2
>> 24 ноября 2010 г. 11:34 пользователь Andrey Konnov написал:
>>
>>> Получится.
>> У меня ж получилось ;)
>>> Если ничего не путаю, надо один сертификат на все виртуальные
>>> хосты использовать.
>> У меня разные, но все работают...
>>
>>
>> --
>> Best regards,
>> Dmitriy Kruglikov.
>> QString at, dot, mail, XMPP;
>> at = "@";
>> dot = ".";
>> mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
>> XMPP = $mail;
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
--
Andrey Konnov
ankon at altlinux.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:11 ` Andrey Konnov
@ 2010-11-24 10:14 ` Dmitriy Kruglikov
2010-11-24 12:06 ` Anton Kvashin
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:14 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 12:11 пользователь Andrey Konnov написал:
> Угу, мне тоже интересно.
А мне - нет... Потому как работает...
>
>> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
>> разные сертификаты будут работать.
И адрес у меня один всего ...
>
> Вроде можно еще на разные порты повесить.
И порт стандартный... (и 80, и 443...)
Может оно и не должно, в теории, но работает ...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:06 ` Dmitriy Kruglikov
@ 2010-11-24 10:15 ` Sergey Vlasov
2010-11-24 10:22 ` Dmitriy Kruglikov
2010-11-25 5:10 ` Alexei Takaseev
2010-11-25 5:03 ` Alexei Takaseev
1 sibling, 2 replies; 25+ messages in thread
From: Sergey Vlasov @ 2010-11-24 10:15 UTC (permalink / raw)
To: sysadmins
On Wed, 24 Nov 2010 12:06:08 +0200 Dmitriy Kruglikov wrote:
> 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> >
> > Сертификаты разные для разный name-хостов?
> Да... Каждый в своем конфиге прописан...
> >
>
> > Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> > как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> > те настройки, которые определены для хоста "по-умолчанию".
> Ну, я таких подробностей не знал, вероятно, потому и получилось :)
>
> Проверил, работает таки...
Работает, но не со всеми клиентами - в частности, лесом идёт Internet
Explorer любой версии на Windows XP (начиная с Windows Vista, уже
поддерживается, на XP придётся ставить, например, Firefox).
http://en.wikipedia.org/wiki/Server_Name_Indication
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:15 ` Sergey Vlasov
@ 2010-11-24 10:22 ` Dmitriy Kruglikov
2010-11-25 5:10 ` Alexei Takaseev
1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 10:22 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 12:15 пользователь Sergey Vlasov написал:
> Работает, но не со всеми клиентами - в частности, лесом идёт Internet
> Explorer
Что меня не огорчает аж ни разу ;)
Но к сведению принял. Спасибо.
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:14 ` Dmitriy Kruglikov
@ 2010-11-24 12:06 ` Anton Kvashin
0 siblings, 0 replies; 25+ messages in thread
From: Anton Kvashin @ 2010-11-24 12:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 15:14, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 12:11 пользователь Andrey Konnov написал:
>> Угу, мне тоже интересно.
> А мне - нет... Потому как работает...
>>> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
>>> разные сертификаты будут работать.
> И адрес у меня один всего ...
На одном не может:
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts
--
Anton Kvashin
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:11 ` Andrey Konnov
@ 2010-11-24 12:07 ` Anton Gorlov
2010-11-24 12:13 ` Anton Kvashin
2010-11-24 12:14 ` Dmitriy Kruglikov
2 siblings, 2 replies; 25+ messages in thread
From: Anton Gorlov @ 2010-11-24 12:07 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 12:56, Alexei Takaseev пишет:
>
> Сертификаты разные для разный name-хостов?
>
> Потому как очень все это любопытно. SSL-сессия устанавливается еще до того,
> как apache узнает к какому именно из виртуальных серверов обращение, и применяет
> те настройки, которые определены для хоста "по-умолчанию".
>
> Вот если для каждого виртуального сервера выделять отдельный IP, то тогда да,
> разные сертификаты будут работать.
Это уже не name based
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:07 ` Anton Gorlov
@ 2010-11-24 12:13 ` Anton Kvashin
2010-11-24 12:16 ` Dmitriy Kruglikov
2010-11-24 12:14 ` Dmitriy Kruglikov
1 sibling, 1 reply; 25+ messages in thread
From: Anton Kvashin @ 2010-11-24 12:13 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 17:07, Anton Gorlov пишет:
> 24.11.2010 12:56, Alexei Takaseev пишет:
>>
>> Сертификаты разные для разный name-хостов?
>>
>> Потому как очень все это любопытно. SSL-сессия устанавливается еще до
>> того,
>> как apache узнает к какому именно из виртуальных серверов обращение, и
>> применяет
>> те настройки, которые определены для хоста "по-умолчанию".
>>
>> Вот если для каждого виртуального сервера выделять отдельный IP, то
>> тогда да,
>> разные сертификаты будут работать.
> Это уже не name based
У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
"свои" конфиги для каждого. Например, сертификат default сайта.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:07 ` Anton Gorlov
2010-11-24 12:13 ` Anton Kvashin
@ 2010-11-24 12:14 ` Dmitriy Kruglikov
1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:14 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:07 пользователь Anton Gorlov написал:
> Это уже не name based
Если у меня по адресу
https://name1.domain.com открывается страница для name1.domain.com,
а по адресу
https://name2.domain.com открывается страница для name2.domain.com,
при этом, каждая с соответствующим сертификатом,
то мне уже без разницы, как это называется...
Но делал я это по "пописалкам" для name based...
С буржуйским языком не дружу с детства, простите за незнание
документации, но у меня работает то, что я хотел получить.
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:13 ` Anton Kvashin
@ 2010-11-24 12:16 ` Dmitriy Kruglikov
2010-11-24 12:22 ` Anton Kvashin
0 siblings, 1 reply; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:16 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:13 пользователь Anton Kvashin написал:
> У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
> "свои" конфиги для каждого. Например, сертификат default сайта.
У меня на _каждый_ сайт выдается _свой_ сертификат.
Я специально проверил...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:16 ` Dmitriy Kruglikov
@ 2010-11-24 12:22 ` Anton Kvashin
2010-11-24 12:27 ` Dmitriy Kruglikov
0 siblings, 1 reply; 25+ messages in thread
From: Anton Kvashin @ 2010-11-24 12:22 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 17:16, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 14:13 пользователь Anton Kvashin написал:
>
>> У Дмитрия вероятно на каждый сайт выдается один сертификат, несмотря на
>> "свои" конфиги для каждого. Например, сертификат default сайта.
>
> У меня на _каждый_ сайт выдается _свой_ сертификат.
> Я специально проверил...
Парни не зря переспрашивают, а разработчики факи пишут. Тогда должен
быть мультидоменный сертификат. А чтобы апач умел такие, нужно патчить.
Но если у вас и так работает, здорово.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 12:22 ` Anton Kvashin
@ 2010-11-24 12:27 ` Dmitriy Kruglikov
0 siblings, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-24 12:27 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24 ноября 2010 г. 14:22 пользователь Anton Kvashin написал:
> Парни не зря переспрашивают, а разработчики факи пишут. Тогда должен быть
> мультидоменный сертификат. А чтобы апач умел такие, нужно патчить.
Я и слова-то такого не знаю...
"мультидоменный сертификат"...
> Но если у вас и так работает, здорово.
>
Если я не ошибаюсь, вопрошавшему нужно было именно такое поведение.
Так у меня работает.
На Сизифе...
Ни каких костылей, кроме правки конфигов и создания сертификатов.
Кому нужно, в личку, мне конфигами поделиться не жалко.
Кто хочет проверить, дам адреса, приходите и смотрите на сертификаты.
Если так работать не должно, но работает, и кто-то считает багом такое
поведение, то давайте разбираться и править...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:15 ` Sergey Vlasov
@ 2010-11-25 5:03 ` Alexei Takaseev
2010-11-25 7:10 ` Dmitriy Kruglikov
1 sibling, 1 reply; 25+ messages in thread
From: Alexei Takaseev @ 2010-11-25 5:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Dmitriy Kruglikov" <dmitriy.kruglikov@gmail.com>
> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Среда, 24 Ноябрь 2010 г 18:06:08
> Тема: Re: [Sysadmins] Настройка SSL в apache2
> 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> >
> > Сертификаты разные для разный name-хостов?
> Да... Каждый в своем конфиге прописан...
Это еще не значит, что на деле сервер использует их. Ниже я писал
по какой причине.
> > Потому как очень все это любопытно. SSL-сессия устанавливается еще
> > до того,
> > как apache узнает к какому именно из виртуальных серверов обращение,
> > и применяет
> > те настройки, которые определены для хоста "по-умолчанию".
> Ну, я таких подробностей не знал, вероятно, потому и получилось :)
>
> Проверил, работает таки...
Посмотрите в браузере свойства сертификатов для разных витруальных
серверов. Что-то мне подсказывает, что там будет одна и та же информация для
всех серверов, расположенных на этой физической машине.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 10:15 ` Sergey Vlasov
2010-11-24 10:22 ` Dmitriy Kruglikov
@ 2010-11-25 5:10 ` Alexei Takaseev
1 sibling, 0 replies; 25+ messages in thread
From: Alexei Takaseev @ 2010-11-25 5:10 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Sergey Vlasov" <vsu@altlinux.ru>
> Кому: sysadmins@lists.altlinux.org
> Отправленные: Среда, 24 Ноябрь 2010 г 18:15:33
> Тема: Re: [Sysadmins] Настройка SSL в apache2
> On Wed, 24 Nov 2010 12:06:08 +0200 Dmitriy Kruglikov wrote:
>
> > 24 ноября 2010 г. 11:56 пользователь Alexei Takaseev написал:
> > >
> > > Сертификаты разные для разный name-хостов?
> > Да... Каждый в своем конфиге прописан...
> > >
> >
> > > Потому как очень все это любопытно. SSL-сессия устанавливается еще
> > > до того,
> > > как apache узнает к какому именно из виртуальных серверов
> > > обращение, и применяет
> > > те настройки, которые определены для хоста "по-умолчанию".
> > Ну, я таких подробностей не знал, вероятно, потому и получилось :)
> >
> > Проверил, работает таки...
>
> Работает, но не со всеми клиентами - в частности, лесом идёт Internet
> Explorer любой версии на Windows XP (начиная с Windows Vista, уже
> поддерживается, на XP придётся ставить, например, Firefox).
>
> http://en.wikipedia.org/wiki/Server_Name_Indication
> http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
Это да, TLS а данном случае решает проблему.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-25 5:03 ` Alexei Takaseev
@ 2010-11-25 7:10 ` Dmitriy Kruglikov
0 siblings, 0 replies; 25+ messages in thread
From: Dmitriy Kruglikov @ 2010-11-25 7:10 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
25 ноября 2010 г. 7:03 пользователь Alexei Takaseev написал:
> Посмотрите в браузере свойства сертификатов для разных витруальных
> серверов. Что-то мне подсказывает, что там будет одна и та же информация для
> всех серверов, расположенных на этой физической машине.
То, что вам подсказывает, ошиблось...
Путем открывания в ФФ своих сайтов и просмотра свойств сертификатов
установлено, что установленные в конфигурации Apache2 сертификаты
сайтов соответствуют этим сайтам.
Что-то мне подсказывает, что сообщение о том, что такое действительно
возможно, за исключением использования некоторых IE
в некоторых версиях "лучшей из ОС", ваше "что-то" не прочитало.
Предложите вашему "чему-то" перечитать тред...
--
Best regards,
Dmitriy Kruglikov.
QString at, dot, mail, XMPP;
at = "@";
dot = ".";
mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
XMPP = $mail;
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 8:43 ` Dmitriy Kruglikov
2010-11-24 9:03 ` Anton Gorlov
@ 2010-12-01 9:29 ` Yury L.Olkov
1 sibling, 0 replies; 25+ messages in thread
From: Yury L.Olkov @ 2010-12-01 9:29 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 11:43, Dmitriy Kruglikov пишет:
> 24 ноября 2010 г. 10:39 пользователь Yury L.Olkov написал:
>> Есть apache2 и несколько name based виртуальных хостов. На одном из них
>> потребовался SSL
> В конфиге того хоста добавить нужные строки ...
>
> Работает...
>
>
Да, спасибо! Хватило штатной документации )
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] Настройка SSL в apache2
2010-11-24 8:39 [Sysadmins] Настройка SSL в apache2 Yury L.Olkov
2010-11-24 8:43 ` Dmitriy Kruglikov
@ 2010-12-01 10:20 ` Дмитрий Дегтярев
1 sibling, 0 replies; 25+ messages in thread
From: Дмитрий Дегтярев @ 2010-12-01 10:20 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
24.11.2010 13:39, Yury L.Olkov пишет:
> бята, кто может, напишите план дейст
то что для <VirtualHost *:80> переписать примерно так:
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName mydomain.ru
ServerAlias www.mydomain.ru
ServerAdmin user@mydomain.ru
DocumentRoot
/var/www/vhosts/mydomain.ru/webspace
ErrorLog
/var/log/httpd2/mydomain.ru-error.log
TransferLog
/var/log/httpd2/mydomain.ru-access.log
CustomLog
/var/log/httpd2/mydomain.ru-access.log combined
SSLEngine On
SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
SSLCertificateFile
/etc/httpd2/conf/ssl/mydomain.ru.crt
SSLCertificateKeyFile
/etc/httpd2/conf/ssl/mydomain.ru.key
SSLCertificateChainFile /etc/httpd2/conf/ssl/ca.crt
SSLCACertificatePath /etc/httpd2/conf/ssl/
SSLCACertificateFile /etc/httpd2/conf/ssl/ca.crt
<Location />
SSLRequireSSL
SSLVerifyClient none
SSLVerifyDepth 1
SSLOptions +StdEnvVars +StrictRequire +OptRenegotiate
</Location>
</VirtualHost>
</IfModule>
^ permalink raw reply [flat|nested] 25+ messages in thread
end of thread, other threads:[~2010-12-01 10:20 UTC | newest]
Thread overview: 25+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-11-24 8:39 [Sysadmins] Настройка SSL в apache2 Yury L.Olkov
2010-11-24 8:43 ` Dmitriy Kruglikov
2010-11-24 9:03 ` Anton Gorlov
2010-11-24 9:07 ` Dmitriy Kruglikov
2010-11-24 9:29 ` Anton Gorlov
2010-11-24 9:34 ` Andrey Konnov
2010-11-24 9:48 ` Dmitriy Kruglikov
2010-11-24 9:56 ` Alexei Takaseev
2010-11-24 10:06 ` Dmitriy Kruglikov
2010-11-24 10:15 ` Sergey Vlasov
2010-11-24 10:22 ` Dmitriy Kruglikov
2010-11-25 5:10 ` Alexei Takaseev
2010-11-25 5:03 ` Alexei Takaseev
2010-11-25 7:10 ` Dmitriy Kruglikov
2010-11-24 10:11 ` Andrey Konnov
2010-11-24 10:14 ` Dmitriy Kruglikov
2010-11-24 12:06 ` Anton Kvashin
2010-11-24 12:07 ` Anton Gorlov
2010-11-24 12:13 ` Anton Kvashin
2010-11-24 12:16 ` Dmitriy Kruglikov
2010-11-24 12:22 ` Anton Kvashin
2010-11-24 12:27 ` Dmitriy Kruglikov
2010-11-24 12:14 ` Dmitriy Kruglikov
2010-12-01 9:29 ` Yury L.Olkov
2010-12-01 10:20 ` Дмитрий Дегтярев
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git