apache24+ssl - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)

- - apache24+ssl (http://forum.oszone.net/showthread.php?t=306535)

Доброго времени суток. Установил Freebsd10.2+Openssl+Apache24+squid+sams2+phpmyadmin+mysql56+php56 . Запустил и проверил работу apache без ssl, все работает нормально. Затем подключил ssl, как написано здесь http://www.lissyara.su/articles/free...che_2.2.0+ssl/ , только без параметра SSLMutex file:/var/run/ssl_mutex , видимо apache24 с ней не работает. Перезагрузил

Код:

/usr/local/etc/rc.d/apache24 restart

Performing sanity check on apache24 configuration:

Syntax OK

Stopping apache24.

Waiting for PIDS: 1499.

Performing sanity check on apache24 configuration:

Syntax OK

Starting apache24.

/usr/local/etc/rc.d/apache24: WARNING: failed to start apache24

Сделал

Код:

/usr/local/etc/rc.d/apache24 status

на что получил

Код:

apache24 is not running.

Проверил работу через веб-браузер и оказывается, что через http не работает, а вот через https работает.
Затем убрал в httpd-ssl.conf строку

Код:

SSLPassPhraseDialog |/usr/local/etc/apache24/echo

Перезагрузил apache

Код:

/usr/local/etc/rc.d/apache24 restart

Performing sanity check on apache24 configuration:

Syntax OK

apache24 not running? (check /var/run/httpd.pid).

Performing sanity check on apache24 configuration:

Syntax OK

Starting apache24.

Apache/2.4.16 mod_ssl (Pass Phrase Dialog)

Some of your private key files are encrypted for security reasons.

In order to read them you have to provide the pass phrases.



Private key www.domain.local:443:0 (/usr/local/etc/apache24/server.key)

Enter pass phrase:



OK: Pass Phrase Dialog successful.

Проверил работу

/usr/local/etc/rc.d/apache24 status

apache24 is running as pid 1622.

Проверил через веб-браузер, работает и через http и через https.
Меня интересует так и должно быть, что когда подключаешь ssl с указанием пароля в файле, то apache24 работает как бы на половину?

поменял SSLPassPhraseDialog |/usr/local/etc/apache24/echo на SSLPassPhraseDialog exec:/usr/local/etc/apache24/echo и все нормально заработало. Я настраиваю ssl в первый раз, многого не понимаю, например, меня интересует, если мы описали в httpd-ssl.conf virtualhost, то это значит, что мы подключили ssl к виртуальному хосту? А если так, то как его подключить к реальному хосту?

Цитата:

Цитата sasha198407

А если так, то как его подключить к реальному хосту? »

ssl выдается на сайт (группу сайтов), все они виртуальные, т к действуют только через апач. мы же когда через браузер на сервак по http 80 порту заглядуем - на виртуалку апач попадаем, ведь так? следовательно и серт работает не с реальным хостом а с тем что кажет браузер

если же попробовать "прикрутить" серт к реальному хосту, то кто и как узнает, сколько у вас там будет виртуальных через апач? и где гарантия что они все "нормальные"? и они, получается, все должны попадать под действие сертификата? да ну не, если только вас не дёрнет приобрести платиновый сертификат за 100500 тыщ уе, при покупке которого первым делом вы подпишитесь под всеми виртуальными хостами на вашей машине (ну или кластере)

вот как-то так. надо ли вам оно

а в остальном всё видимо здорово у вас работает, с чем и поздравляю так как считаю что скорее всего именно так как у вас+lissyara и должно быть

ну а вообще тут многие говорят что фигня эти все сертификаты - алгоритмы расчета обратно вычисляемы, в ссл ключах одни якобы нули и т д

если хотите что-то спрятать то поставьте vpn-шлюз с fail2ban от подбора паролей, и пусть уже он ведёт в подсеть (или на другой ip) по туннелю к апач

вход в vpn или через radius или через аппаратный токен rsa secur id, или через карточку с одноразовыми паролями (можете её сами придумать по желанию)

да, и помнится мне один знакомый айтишник поднимал на одном физическом хосте сеть из трех виртуальных , первый был шлюзом, а остальные два в собственной подсети (серые ip 192.168) хранили... там что-то у него хранили. по-моему mysql