URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44314
[ Назад ]

Исходное сообщение
"apache+modssl"
Отправлено dimabsd , 24-Май-04 12:55

Здрасте все.
Ставил apache+modssl по статье http://www.opennet.me/base/sec/ssl_freebsd.txt.html
При соединении на https://moydomen.ru
в логах апача вот такие записи:
[24/May/2004 14:46:11 64035] [error] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[24/May/2004 14:46:11 64035] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
В броузере соответственно ничего нет!
Что это за ошибка?

Содержание

apache+modssl,dimabsd, 18:16 , 24-Май-04
- apache+modssl,dimabsd, 13:23 , 25-Май-04
  - apache+modssl,lavr, 14:03 , 25-Май-04
    - apache+modssl,A Clockwork Orange, 14:11 , 25-Май-04
      - apache+modssl,lavr, 14:13 , 25-Май-04
        
        apache+modssl,dimabsd, 18:02 , 25-Май-04
        
        apache+modssl,Nickolay, 18:05 , 25-Май-04
        apache+modssl,lavr, 18:26 , 25-Май-04
        
        apache+modssl,dimabsd, 19:32 , 25-Май-04
        
        apache+modssl,lavr, 15:31 , 26-Май-04
        
        apache+modssl,dimabsd, 20:22 , 26-Май-04
        
        apache+modssl,lavr, 11:49 , 27-Май-04

Сообщения в этом обсуждении

"apache+modssl"
Отправлено dimabsd , 24-Май-04 18:16

>Что это за ошибка?
Сейчас перенастроил и выскакивает вот такая ошибка
[warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[error] Init: (moydomen.ru:443) Illegal attempt to re-initialise SSL for server (theoretically shouldn't happen!)
В чем проблема?

"apache+modssl"
Отправлено dimabsd , 25-Май-04 13:23

Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить apache для ssl.

"apache+modssl"
Отправлено lavr , 25-Май-04 14:03

>Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf
>на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить
>apache для ssl.
для проверки:
openssl s_client -connect host.domain:443 -state -debug
где host.domain - fqdn для которых ты генерил самоподписные сертификаты
смотри что тебе выдается, делай выводы

"apache+modssl"
Отправлено A Clockwork Orange , 25-Май-04 14:11

а так
https://домен:443

"apache+modssl"
Отправлено lavr , 25-Май-04 14:13

>а так
>https://домен:443
неинформативно

"apache+modssl"
Отправлено dimabsd , 25-Май-04 18:02

>>а так
>>https://домен:443
>
>неинформативно
Спасибо, что откликнулись.
Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение.
Вввод команды выдал такие результаты.
su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
connect: Connection refused
connect:errno=61
В том что не возможно соединиться (Connection refused), я и так догадался, а вот как это исправить понять пока не могу!!!

"apache+modssl"
Отправлено Nickolay , 25-Май-04 18:05

есть такой Apache compile HOWTO
я делал по нему и все работает.
искать через гугль

"apache+modssl"
Отправлено lavr , 25-Май-04 18:26

>>>а так
>>>https://домен:443
>>
>>неинформативно
>Спасибо, что откликнулись.
>Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение.
>Вввод команды выдал такие результаты.
>su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
>connect: Connection refused
>connect:errno=61
# nslookup -q=a www.globalnets.ru.
получаем ip (на этом ip видимо не слушается 443 порт)
либо в httpd.conf что-то не так, либо у тебя один ip используется для
нескольких виртуальных серверов, вот и вся проблема
>В том что не возможно соединиться (Connection refused), я и так догадался,
>а вот как это исправить понять пока не могу!!!
например:
[unix1]~ > ifconfig fxp0
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 159.93.17.121 netmask 0xfffff000 broadcast 159.93.31.255
        inet6 fe80::250:8bff:fe5b:ae06%fxp0 prefixlen 64 scopeid 0x1
        inet 159.93.25.88 netmask 0xffffffff broadcast 159.93.25.88
        inet 159.93.17.129 netmask 0xffffffff broadcast 159.93.17.129
        inet 193.124.144.1 netmask 0xffffff00 broadcast 193.124.144.255
        ether 00:50:8b:5b:ae:06
        media: Ethernet 100baseTX <full-duplex>
        status: active
[unix1]~ >
[unix1]~ > nslookup -q=a alone.jinr.ru.
Server:  sunct0.jinr.ru
Address:  159.93.17.130
Name:    alone.jinr.ru
Address:  159.93.17.129
[unix1]~ > nslookup -q=ptr 159.93.17.129
Server:  sunct0.jinr.ru
Address:  159.93.17.130
129.17.93.159.in-addr.arpa      name = alone.jinr.ru
93.159.IN-ADDR.ARPA     nameserver = ns.jinr.dubna.su
93.159.IN-ADDR.ARPA     nameserver = ns2.jinr.dubna.su
93.159.IN-ADDR.ARPA     nameserver = ns.ru.net
ns.jinr.dubna.su        internet address = 159.93.17.130
ns2.jinr.dubna.su       internet address = 159.93.17.13
ns.ru.net       internet address = 193.124.22.65
[unix1]~ >
httpd.conf
...
<IfDefine SSL>
LoadModule ssl_module         libexec/apache/libssl.so
</IfDefine>
...
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
...
#--lavr 8080 для личных нужд
<IfDefine SSL>
Listen 80
Listen 443
Listen 8080
</IfDefine>
...
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
</IfDefine>
#--lavr общая секция SSL
<IfModule mod_ssl.c>
SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:/var/run/ssl_scache
SSLSessionCacheTimeout  300
SSLMutex  file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog      /var/log/apache/ssl_engine_log
SSLLogLevel info
</IfModule>
<IfDefine SSL>
...
#--webmail based on twig
<VirtualHost 159.93.17.129:443>
    ServerName alone.jinr.dubna.su
    DocumentRoot /usr/local/www/data/alone
   SSLEngine on
   SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
   SSLCertificateFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.crt/server.crt
   SSLCertificateKeyFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.key/server.key
   <Files ~ "\.(cgi|shtml|phtml|php3?)$">
        SSLOptions +StdEnvVars
   </Files>
<Directory "/usr/local/www/data/alone">
    Options Indexes FollowSymLinks MultiViews Includes
    CharsetRecodeMultipartForms Off
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>
   <Directory "/usr/local/www/cgi-bin">
        SSLOptions +StdEnvVars
   </Directory>
   SetEnvIf User-Agent ".*MSIE.*" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
   CustomLog /var/log/apache/ssl_request.log \
             "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
</IfDefine>
вот в последнем If идет конкретно для webmail построенном на twig'е
на настройки в директивах <Directory> можно не обращать внимания, сделаны
под себя и под свои нужды

"apache+modssl"
Отправлено dimabsd , 25-Май-04 19:32

Ну вот все уже пересмотрел.
Все стоит как у Вас, ну не хочет работать.
ввожу
shell# apachectl startssl
Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.
Server www.globalnets.ru:443 (RSA)
Ok: Pass Phrase Dialog successful.
/usr/local/sbin/apachectl startssl: httpd started
в логах ssl ничего.
В логах apacha:
[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)
www.moydomen.ru - невозможно отобразить страницу
www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
www.globalnets.ru - невозможно отобразить страницу
Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
Все по документации.
Спецы помогите где еще можно копнуть!

"apache+modssl"
Отправлено lavr , 26-Май-04 15:31

>Ну вот все уже пересмотрел.
>Все стоит как у Вас, ну не хочет работать.
>ввожу
>
>shell# apachectl startssl
>Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
>Some of your private key files are encrypted for security reasons.
>In order to read them you have to provide us with the
>pass phrases.
>
>Server www.globalnets.ru:443 (RSA)
>
>Ok: Pass Phrase Dialog successful.
>/usr/local/sbin/apachectl startssl: httpd started
не надоело еще парольную фразу вводить?
# cp server.key server.key.secure
# openssl rsa -in server.key.secure -out server.key
# chmod 400 server.key
>в логах ssl ничего.
>
>В логах apacha:
>[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
>[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)
>
>www.moydomen.ru - невозможно отобразить страницу
>www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
>www.globalnets.ru - невозможно отобразить страницу
>
>Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
>Все по документации.
>Спецы помогите где еще можно копнуть!
тебе задали вопрос: используешь один IP для виртуальных серверов?
что говорит:
# nslookup -q=a www.moydomen.ru.
# nslookup -q=a www.globalnets.ru.
ну и дай url на свой httpd.conf
кроме того:
openssl x509 -noout -text -in /usr/local/etc/apache/ssl.crt/server.crt
openssl s_client -connect ip.add.re.ss:443 -state -debug

"apache+modssl"
Отправлено dimabsd , 26-Май-04 20:22

Ситуация такая.
Нужна поднять ssl в таком виде.
http://www.moydomen.ru основной сайт.
Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
На примере webmail-a.
На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача. Вот как это поднять?
nslookup есьесьвенно показывает мой ip. 8-)
Вывод остальных команд смогу проверить позже.
Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www и общие рекомендации.(если это возможно без вывода этих команд)

"apache+modssl"
Отправлено lavr , 27-Май-04 11:49

>Ситуация такая.
>Нужна поднять ssl в таком виде.
>http://www.moydomen.ru основной сайт.
>Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
>Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
>На примере webmail-a.
>На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на
>http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при
>вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача.
>Вот как это поднять?
> nslookup есьесьвенно показывает мой ip. 8-)
сделаешь разные ip для тех fqdn где тебе нужно SSL и все заработает,
разумеется server.key для каждого fqdn свой, а crt можешь подписать
использую свой ca.crt для каждого fqdn с ssl доступом

>Вывод остальных команд смогу проверить позже.
>Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www
>и общие рекомендации.(если это возможно без вывода этих команд)
без проблем.