Настройка индейца {Решено!}

Не понимаю как настроить SSL шифрование на apache2. Что надо прописать и где, чтоб нормально работало шифрование?

А что тут может быть такого

А что тут может быть такого принципиально сложного?
Если конечно не завязываться на авторизацию по клиентским сертификатам (там действительно появляется некоторое количество достаточно тонких моментов)...

Единственное --- необходимость отслеживать срок действия сертификата сервера.
Ну и потеря производительности.

ЗЫ: Если [вдруг] что-то не понятно --- спрашивай (лучше стучить в Jabber).

:wq
--
Live free or die

Собственно всё что мну нужно,

Собственно всё что мну нужно, это чтоб заходя через определённый домен врубалось шифрование. вот и всё! :)

Great minds have a purpose, other have a wishes. /Irving Washington/

.

onegreyonewhite написал(а):
Собственно всё что мну нужно, это чтоб заходя через определённый домен врубалось шифрование. вот и всё! :)

Т.е. доменное имя известно.
Уже хорошо...

Но знаний по теме, увы, не наблюдаю.

Значит так:
1. Заходи в Jabber, расскажу;
2. Краткое резюме повесишь в этой теме (совместно с резолюцией "решено");
3. И готовься получить общественно-полезную нагрузку в тему :)

:wq
--
Live free or die

Сегодня просто физически не

Сегодня просто физически не могу в Jabber зайти ибо на работе завал...
Завтра буду примерно в это же время, если не сложно, то расскажешь ;)

Great minds have a purpose, other have a wishes. /Irving Washington/

+

1.прописываем -D SSL в опции запуска в /etc/conf.d/net и стираем оттуда -D DEFAULT_SSL (как то так)
2. создаем /etc/apache2/vhosts/ssl_vhosts.conf c примерно таким содержимым

Listen 443
ServerName myserver
ServerAdmin 

NameVirtualHost a.b.c.d:443
<VirtualHost a.b.c.d:443>
        DocumentRoot /var/www/localhost/htdocs/directory-site
        ServerName www.mysite.ru
        ErrorLog /var/log/apache2/directory-site/error_log
        TransferLog /var/log/apache2/directory-site/access_log
        SSLCertificateFile /etc/apache2/ssl/apache.cert.cert
        SSLCertificateKeyFile /etc/apache2/ssl/apache.cert.key
        SSLEngine on
        <Directory "/var/www/localhost/htdocs/directory-site/">
                Options Indexes FollowSymLinks
                AllowOverride none
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>

3.создаем сертификаты
# openssl req -new > apache.cert.csr
# openssl rsa -in privkey.pem -out apache.cert.key
# openssl x509 -in apache.cert.csr -out apache.cert.cert -req -signkey apache.cert.key -days 3650
4. копируем их в /etc/apache2/ssl/
и запускаем апач через init.d/apache2

если во время запуска [!!] то смотрим в error_log'и

there is only war...

Вот это мне понятно! :)

Вот это мне понятно! :) Благодарю...

Great minds have a purpose, other have a wishes. /Irving Washington/

На самом деле процедура

На самом деле процедура генерации сертификатов сервера заслуживает куда бОльшего внимания.

Если клиентские сертификаты не нужны, то можно обойтись без сертификата центра авторизации. И тогда комплект сертификат/ключ генерится проще:
# openssl req -new -x509 -set_serial 13 -days 666 -subj '/C=RU/ST=RUSSIA/L=Moscow/O=BLAH/OU=BLAH-BLAH/CN=WEB-SERVER-DNS-NAME/emailAddress=postmaster@mydomain.ru' -keyout web-server.key -out web-server.crt
Длина ключа предварительно прописывается в /etc/ssl/openssl.cnf.

Но. Если тебе нужен автоматический запуск сервера (в смысле чтобы web-сервер автоматически поднимался после [например] незапланированного отключения питания), то необходимо [как минимум] создать и прописать в конфигу виртуального SSL-хоста дешифрованный ключ сервера:
# openssl rsa -in web-server.key -out www.web-server.key
Права навскидку не помню. Думай/проверяй сам.
В конфиге сервера прописывай последний файл ключа.
Иначе... Ну, сам увидишь :)

:wq
--
Live free or die

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".