Обсуждение статьи тематического каталога: Настройка apache + modssl для работы через https (apache mod_ssl ssl security freebsd crypt)Ссылка на текст статьи: http://www.opennet.me/base/net/apache_mod_ssl.txt.html
Что за плагиат? :)
http://www.opennet.me/base/sec/ssl_freebsd.txt.html
http://strict.spb.ru/ssl.htmlЧитаю и вижу много знакомых моему сердцу словей... :)
>Что за плагиат? :)
>http://www.opennet.me/base/sec/ssl_freebsd.txt.html
>http://strict.spb.ru/ssl.html
>
>Читаю и вижу много знакомых моему сердцу словей... :)Да, самый явный признак - идентичность комментариев прустуствует, но голым плагиатом это не назовешь (хотя некоторые предложений и куски кода 1 в 1), встречаются общие моменты, но и много нового.
Добавил в начало текст: "В статье использованы материалы документа http://strict.spb.ru/ssl.html", если неустравает, могу включить вместо этой строки любой другой текст.
Также поправил текст новости.
Да, ладно, всегда пожалуйста :)
А здесь не только Stricty пострадалаглава "немного теории" полностью заимствована из перевода
Sergei Karasiov "Создание SSL сертификатов для связки Apache и mod_ssl",
глава "короткий рассказ об SSL"
http://www.opennet.me/base/dev/apache_mod_ssl.txt.html)Исходник: http://slacksite.com/apache/certificate.html
Оригинал перевода: http://blog.spb.ru/apache_modssl.htmlПредлагаю расширить список "использованных" материалов
я вот тожа.. вот только что прочитал это у stricty:)
>Пока вы не разберётесь в работе SSL, нельзя считать соединение
>безопасным. В данном случае представлен быстрый вариант настройки, не
>дающий никаких гарантий. Практически - это защита от дурака, которой
>тоже пренебрегать не следует.Что именно под этим имеется ввиду? Дополнительные настройки? Тонкости?
На вскидку - подмена сертификатов. Я советую прямым текстом создавать самоподписанный сертификат. Его может подменить любой proxy - часто Вы обращаете внимание на бредни, сообщаемые Вам параноидальными программами?
Вы можете проверить, что это мой, а не поддельный самоподписанный сертификат?
Так же, мною практически не затронут вопрос об отзыве сетрификатов и т.д. и т.п.
А что, русского апача с поддержкой ssl не существует???тогда посмотрите в ports/russian/apache13-modssl
пока писал
openssl req -config /usr/local/openssl/openssl.cnf -new -x509 -keyout ssl.key/gw-ca.pem -out gw-ca.pem -days 365
сертификат не создавал, ругался
unable to find 'distinguished_name' in config
problems making Certificate Request
78008:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/conf/conf_lib.c:329:group=req name=distinguished_nameкогда сделал openssl req -new -x509 -keyout ssl.key/gw-ca.pem -out gw-ca.pem -days 365
заработало
Ну еще бы! /usr/local/openssl/openssl.cnf - нету. По дефолту лежит все в /etc/ssl/openssl.cnf.
Я не понял как всетаки сделать именно виртуальные сайты, дайте ссылку.. насколько я правильно понимаю на 1 порт невозможно повесить сколько угодно виртуальных сайтов, а использование виртуальных хостов естесственным и описанным образом не получается, возможно конечно включается механизм проксирования 443 порта от nemebased сайтов, но я всеравно както не догнал чтоли.
"Что делает эта строка, я затрудняюсь ответить точно, но так
сделать рекомендуют:
# openssl x509 -in gw-ca.pem -out gw-ca.crt"
Имхо ничего не делает эта строка, файлы in и out не будут отличаться ничем, кроме имени.
В данном случае явно пропущены параметры, возможно inform и outform. В общем, смысл рекомендации не понятен, в каком целевом формате хотели получить сертификат?...