The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Установка Apache с поддержкой SSL и генерация сертификатов (freebsd apache ssl mod_ssl crypt)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: freebsd, apache, ssl, mod_ssl, crypt,  (найти похожие документы)
From: Александр Елисеенко <tusur at mail.ru> Newsgroups: email Date: Mon, 11 May 2004 14:31:37 +0000 (UTC) Subject: Установка Apache с поддержкой SSL и генерация сертификатов По материалам статей: Stricty (http://www.opennet.me/base/sec/ssl_freebsd.txt.html) Alexch (http://www.opennet.me/base/net/apache_mod_ssl.txt.html) Недавно на OpenNET были опубликованы две статьи на тему установки Apache с поддержкой SSL под FreeBSD. Ключевой момент - генерация сертификатов. И если в статье у Stricty представлена хоть и не совсем удачная (малопонятна система именования файлов, лишние действия), но по крайней мере самостоятельная попытка разобраться в этом вопросе, то у alexch - чистой воды плагиат. Не согласен с комментарием Максима Чиркова - нового в этой статье ничего нет. Такого сорта статьи только запутывают читателей. На самом деле не нужно заново изобретать велосипед, в стандартной поставке Apache + mod_ssl и в openssl есть все необходимое. Установка Apache 1.3 с поддержкой SSL делается очень просто: cd /usr/ports/www/apache13-modssl (английская версия) или cd /usr/ports/russian/apache13-modssl (русская версия) make make certification TYPE=custom make install при генерации сертификатов создается нешифрованный ключ корневого сертификата (ca.key), сертификационный запрос (ca.csr) и самоподписанный корневой сертификат (ca.crt), нешифрованный ключ сервера (server.key) сервера, сертификационный запрос (server.csr) и подписанный корневым сертификатом собственно сертификат сервера (server.crt). Будет предложено зашифровать ключи. При ответе на вопросы в процессе генерации сертификационного запроса сервера необходимо учесть, что commonName - это обязательно главное доменное имя хоста. Для сертификационного запроса корневого сертификата этот параметр не имеет значения. Ключи можно шифровать, а можно и не шифровать. При запуске Apache с шифрованным ключом потребуется ввести пароль, это можно сделать с помощью внешней программы. И самое главное - файл корневого сертификата ca.crt необходимо передать на клиентский компьютер и ввести в хранилище сертификатов браузера. Только в этом случае при обращении к нашему серверу по защищенному протоколу браузер НЕ БУДЕТ выдавать предупреждение, что сертификат выдан организацией, не входящей в состав доверенных. Авторы вышеупомянутых статей предлагают прописывать ссылку на файл корневого сертификата в строке SSLCACertificateFile /usr/local/etc/apache/ssl.crt/ca.crt конфигурационного файла httpd.conf, но это неверно. Данная опция предназначена для организации проверки сертификатов КЛИЕНТОВ на стороне сервера. Сгенерировать сертификаты можно и по другому. В состав дистрибутива openssl входят скрипты CA.sh и CA.pl cd /usr/local/openssl/misc создаем корневой сертификат ./CA.sh -newca генерируем личный ключ и сертификационный запрос сервера ./CA.sh -newreq и подписываем его своим корневым сертификатом. ./CA.sh -sign переписываем ключ и сертификат сервера в служебный каталог Apache cp newreq.pem /usr/local/etc/apache/sslkey/server.key cp newcert.pem /usr/local/etc/apache/ssl.crt/server.crt Файл корневого сертификата ./demoCA/cacert.pem необходимо распространить по клиентским компьютерам. Если кто желает узнать о генерации ключей и сертификатов в большей мере, рекомендую обратиться к документации на ssl lynx /usr/local/share/doc/apache/manual/mod/mod_ssl/ssl_faq.html На этом все. С уважением, Александр

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1.1, ReRo (?), 17:15, 29/11/2004 [ответить]  
  • +/
    Поставил по вашей заметке, затруднений никаких не вызвало, как и лишних телодвижений.
     
  • 1.2, Гость (?), 11:02, 24/12/2004 [ответить]  
  • +/
    Все работает только всместо:
    make certification TYPE=custom
    надо запускать:
    make certificate TYPE=custom
     
  • 1.3, Евгений (??), 16:37, 26/10/2005 [ответить]  
  • +/
    У меня не в какую, вот поглядите:
    # make
    ===>  Building for ru-apache+mod_ssl-1.3.33+30.21+2.8.22
    ===> src
    ===> src/os/unix
    <=== src/os/unix
    ===> src/ap
    cc -c -I/usr/local/include -I../os/unix -I../include  -DDOCUMENT_LOCATION=\"/usr/local/www/data\"  -DDEFAULT_PATH=\"/bin:/usr/bin:/usr/local/bin\" -DHARD_SERVER_LIMIT=512 -funsigned-char -DRUSSIAN_APACHE -DMOD_SSL=208122 -DEAPI -DEAPI_MM -DUSE_EXPAT -I../lib/expat-lite -O -pipe  '../apaci' ap_fnmatch.c
    ap_fnmatch.c: In function 'ap_fnmatch':
    ap_fnmatch.c:158: error: 'FNM_CASE_BLIND' undeclared (first use in this function)
    ap_fnmatch.c:158: error: (Each undeclared identifier is reported only once
    ap_fnmatch.c:158: error: for each function it appears in.)
    ap_fnmatch.c: In function 'rangematch':
    ap_fnmatch.c:205: error: 'FNM_CASE_BLIND' undeclared (first use in this function)
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl/work/apache_1.3.33/src/ap.
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl/work/apache_1.3.33/src.
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl/work/apache_1.3.33.
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl/work/apache_1.3.33.
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl.
    *** Error code 1

    Stop in /usr/ports/russian/apache13-modssl.

    ОС FreeBSD 5.4 из установленного: Samba3, Heimdal, Squid, MySQL

     
  • 1.4, MCNet (??), 13:52, 23/12/2005 [ответить]  
  • +/
    Огромное спасибо. Всё ясно и понятно!
     
  • 1.5, Антон (??), 20:57, 20/06/2006 [ответить]  
  • +/
    Народ а ссылку не кинете а то у меня почему то файла make в дистрибутивах нет
     
     
  • 2.6, ADuck (?), 08:22, 21/06/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >файла make в дистрибутивах нет
    Дык он должен быть в /usr/bin/ например. А в дистрибутивах Makefile проекта.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру