Здрасте все.
Ставил apache+modssl по статье http://www.opennet.me/base/sec/ssl_freebsd.txt.html
При соединении на https://moydomen.ru
в логах апача вот такие записи:
[24/May/2004 14:46:11 64035] [error] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[24/May/2004 14:46:11 64035] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
В броузере соответственно ничего нет!Что это за ошибка?
>Что это за ошибка?Сейчас перенастроил и выскакивает вот такая ошибка
[warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[error] Init: (moydomen.ru:443) Illegal attempt to re-initialise SSL for server (theoretically shouldn't happen!)В чем проблема?
Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить apache для ssl.
>Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf
>на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить
>apache для ssl.для проверки:
openssl s_client -connect host.domain:443 -state -debug
где host.domain - fqdn для которых ты генерил самоподписные сертификаты
смотри что тебе выдается, делай выводы
а так
https://домен:443
>а так
>https://домен:443неинформативно
>>а так
>>https://домен:443
>
>неинформативно
Спасибо, что откликнулись.
Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение.
Вввод команды выдал такие результаты.
su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
connect: Connection refused
connect:errno=61В том что не возможно соединиться (Connection refused), я и так догадался, а вот как это исправить понять пока не могу!!!
есть такой Apache compile HOWTO
я делал по нему и все работает.
искать через гугль
>>>а так
>>>https://домен:443
>>
>>неинформативно
>Спасибо, что откликнулись.
>Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение.
>Вввод команды выдал такие результаты.
>su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
>connect: Connection refused
>connect:errno=61# nslookup -q=a www.globalnets.ru.
получаем ip (на этом ip видимо не слушается 443 порт)
либо в httpd.conf что-то не так, либо у тебя один ip используется для
нескольких виртуальных серверов, вот и вся проблема>В том что не возможно соединиться (Connection refused), я и так догадался,
>а вот как это исправить понять пока не могу!!!например:
[unix1]~ > ifconfig fxp0
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 159.93.17.121 netmask 0xfffff000 broadcast 159.93.31.255
inet6 fe80::250:8bff:fe5b:ae06%fxp0 prefixlen 64 scopeid 0x1
inet 159.93.25.88 netmask 0xffffffff broadcast 159.93.25.88
inet 159.93.17.129 netmask 0xffffffff broadcast 159.93.17.129
inet 193.124.144.1 netmask 0xffffff00 broadcast 193.124.144.255
ether 00:50:8b:5b:ae:06
media: Ethernet 100baseTX <full-duplex>
status: active
[unix1]~ >[unix1]~ > nslookup -q=a alone.jinr.ru.
Server: sunct0.jinr.ru
Address: 159.93.17.130Name: alone.jinr.ru
Address: 159.93.17.129[unix1]~ > nslookup -q=ptr 159.93.17.129
Server: sunct0.jinr.ru
Address: 159.93.17.130129.17.93.159.in-addr.arpa name = alone.jinr.ru
93.159.IN-ADDR.ARPA nameserver = ns.jinr.dubna.su
93.159.IN-ADDR.ARPA nameserver = ns2.jinr.dubna.su
93.159.IN-ADDR.ARPA nameserver = ns.ru.net
ns.jinr.dubna.su internet address = 159.93.17.130
ns2.jinr.dubna.su internet address = 159.93.17.13
ns.ru.net internet address = 193.124.22.65
[unix1]~ >httpd.conf
...
<IfDefine SSL>
LoadModule ssl_module libexec/apache/libssl.so
</IfDefine>
...
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
...
#--lavr 8080 для личных нужд
<IfDefine SSL>
Listen 80
Listen 443
Listen 8080
</IfDefine>
...
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>#--lavr общая секция SSL
<IfModule mod_ssl.c>
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/var/run/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /var/log/apache/ssl_engine_log
SSLLogLevel info</IfModule>
<IfDefine SSL>
...
#--webmail based on twig
<VirtualHost 159.93.17.129:443>
ServerName alone.jinr.dubna.su
DocumentRoot /usr/local/www/data/alone
SSLEngine onSSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.key/server.key<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files><Directory "/usr/local/www/data/alone">
Options Indexes FollowSymLinks MultiViews Includes
CharsetRecodeMultipartForms Off
AllowOverride None
Order allow,deny
Allow from all
</Directory><Directory "/usr/local/www/cgi-bin">
SSLOptions +StdEnvVars
</Directory>SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0CustomLog /var/log/apache/ssl_request.log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"</VirtualHost>
</IfDefine>
вот в последнем If идет конкретно для webmail построенном на twig'е
на настройки в директивах <Directory> можно не обращать внимания, сделаны
под себя и под свои нужды
Ну вот все уже пересмотрел.
Все стоит как у Вас, ну не хочет работать.
ввожуshell# apachectl startssl
Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.Server www.globalnets.ru:443 (RSA)
Ok: Pass Phrase Dialog successful.
/usr/local/sbin/apachectl startssl: httpd startedв логах ssl ничего.
В логах apacha:
[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)www.moydomen.ru - невозможно отобразить страницу
www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
www.globalnets.ru - невозможно отобразить страницуКараул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
Все по документации.
Спецы помогите где еще можно копнуть!
>Ну вот все уже пересмотрел.
>Все стоит как у Вас, ну не хочет работать.
>ввожу
>
>shell# apachectl startssl
>Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
>Some of your private key files are encrypted for security reasons.
>In order to read them you have to provide us with the
>pass phrases.
>
>Server www.globalnets.ru:443 (RSA)
>
>Ok: Pass Phrase Dialog successful.
>/usr/local/sbin/apachectl startssl: httpd startedне надоело еще парольную фразу вводить?
# cp server.key server.key.secure
# openssl rsa -in server.key.secure -out server.key
# chmod 400 server.key>в логах ssl ничего.
>
>В логах apacha:
>[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
>[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)
>
>www.moydomen.ru - невозможно отобразить страницу
>www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
>www.globalnets.ru - невозможно отобразить страницу
>
>Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
>Все по документации.
>Спецы помогите где еще можно копнуть!тебе задали вопрос: используешь один IP для виртуальных серверов?
что говорит:
# nslookup -q=a www.moydomen.ru.
# nslookup -q=a www.globalnets.ru.ну и дай url на свой httpd.conf
кроме того:
openssl x509 -noout -text -in /usr/local/etc/apache/ssl.crt/server.crt
openssl s_client -connect ip.add.re.ss:443 -state -debug
Ситуация такая.
Нужна поднять ssl в таком виде.
http://www.moydomen.ru основной сайт.
Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
На примере webmail-a.
На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача. Вот как это поднять?
nslookup есьесьвенно показывает мой ip. 8-)
Вывод остальных команд смогу проверить позже.
Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www и общие рекомендации.(если это возможно без вывода этих команд)
>Ситуация такая.
>Нужна поднять ssl в таком виде.
>http://www.moydomen.ru основной сайт.
>Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
>Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
>На примере webmail-a.
>На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на
>http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при
>вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача.
>Вот как это поднять?
> nslookup есьесьвенно показывает мой ip. 8-)сделаешь разные ip для тех fqdn где тебе нужно SSL и все заработает,
разумеется server.key для каждого fqdn свой, а crt можешь подписать
использую свой ca.crt для каждого fqdn с ssl доступом
>Вывод остальных команд смогу проверить позже.
>Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www
>и общие рекомендации.(если это возможно без вывода этих команд)без проблем.