форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"apache+modssl"
Сообщение от dimabsd (ok) on 24-Май-04, 12:55  (MSK)
Здрасте все. Ставил apache+modssl по статье http://www.opennet.me/base/sec/ssl_freebsd.txt.html При соединении на https://moydomen.ru в логах апача вот такие записи: [24/May/2004 14:46:11 64035] [error] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows) [24/May/2004 14:46:11 64035] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?] В броузере соответственно ничего нет! Что это за ошибка?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "apache+modssl"
Сообщение от dimabsd (ok) on 24-Май-04, 18:16  (MSK)
>Что это за ошибка? Сейчас перенастроил и выскакивает вот такая ошибка [warn]  Init: Session Cache is not configured [hint: SSLSessionCache] [error] Init: (moydomen.ru:443) Illegal attempt to re-initialise SSL for server (theoretically shouldn't happen!) В чем проблема?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "apache+modssl"
	Сообщение от dimabsd (ok) on 25-Май-04, 13:23  (MSK)
	Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить apache для ssl.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "apache+modssl"
	Сообщение от lavr on 25-Май-04, 14:03  (MSK)
	>Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf >на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить >apache для ssl. для проверки: openssl s_client -connect host.domain:443 -state -debug где host.domain - fqdn для которых ты генерил самоподписные сертификаты смотри что тебе выдается, делай выводы
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "apache+modssl"
	Сообщение от A Clockwork Orange on 25-Май-04, 14:11  (MSK)
	а так https://домен:443
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "apache+modssl"
	Сообщение от lavr on 25-Май-04, 14:13  (MSK)
	>а так >https://домен:443 неинформативно
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "apache+modssl"
	Сообщение от dimabsd (ok) on 25-Май-04, 18:02  (MSK)
	>>а так >>https://домен:443 > >неинформативно Спасибо, что откликнулись. Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение. Вввод команды выдал такие результаты. su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug connect: Connection refused connect:errno=61 В том что не возможно соединиться (Connection refused), я и так догадался, а вот как это исправить понять пока не могу!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "apache+modssl"
	Сообщение от Nickolay (??) on 25-Май-04, 18:05  (MSK)
	есть такой Apache compile HOWTO я делал по нему и все работает. искать через гугль
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "apache+modssl"
	Сообщение от lavr on 25-Май-04, 18:26  (MSK)
	>>>а так >>>https://домен:443 >> >>неинформативно >Спасибо, что откликнулись. >Полное описание текущей ситуации описано мною на http://www.opennet.me/openforum/vsluhforumID3/3664.html - последнее сообщение. >Вввод команды выдал такие результаты. >su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug >connect: Connection refused >connect:errno=61 # nslookup -q=a www.globalnets.ru. получаем ip (на этом ip видимо не слушается 443 порт) либо в httpd.conf что-то не так, либо у тебя один ip используется для нескольких виртуальных серверов, вот и вся проблема >В том что не возможно соединиться (Connection refused), я и так догадался, >а вот как это исправить понять пока не могу!!! например: [unix1]~ > ifconfig fxp0 fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500         inet 159.93.17.121 netmask 0xfffff000 broadcast 159.93.31.255         inet6 fe80::250:8bff:fe5b:ae06%fxp0 prefixlen 64 scopeid 0x1         inet 159.93.25.88 netmask 0xffffffff broadcast 159.93.25.88         inet 159.93.17.129 netmask 0xffffffff broadcast 159.93.17.129         inet 193.124.144.1 netmask 0xffffff00 broadcast 193.124.144.255         ether 00:50:8b:5b:ae:06         media: Ethernet 100baseTX <full-duplex>         status: active [unix1]~ > [unix1]~ > nslookup -q=a alone.jinr.ru. Server:  sunct0.jinr.ru Address:  159.93.17.130 Name:    alone.jinr.ru Address:  159.93.17.129 [unix1]~ > nslookup -q=ptr 159.93.17.129 Server:  sunct0.jinr.ru Address:  159.93.17.130 129.17.93.159.in-addr.arpa      name = alone.jinr.ru 93.159.IN-ADDR.ARPA     nameserver = ns.jinr.dubna.su 93.159.IN-ADDR.ARPA     nameserver = ns2.jinr.dubna.su 93.159.IN-ADDR.ARPA     nameserver = ns.ru.net ns.jinr.dubna.su        internet address = 159.93.17.130 ns2.jinr.dubna.su       internet address = 159.93.17.13 ns.ru.net       internet address = 193.124.22.65 [unix1]~ > httpd.conf ... <IfDefine SSL> LoadModule ssl_module         libexec/apache/libssl.so </IfDefine> ... <IfDefine SSL> AddModule mod_ssl.c </IfDefine> ... #--lavr 8080 для личных нужд <IfDefine SSL> Listen 80 Listen 443 Listen 8080 </IfDefine> ... <IfDefine SSL> AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl    .crl </IfDefine> #--lavr общая секция SSL <IfModule mod_ssl.c> SSLPassPhraseDialog  builtin SSLSessionCache         dbm:/var/run/ssl_scache SSLSessionCacheTimeout  300 SSLMutex  file:/var/run/ssl_mutex SSLRandomSeed startup builtin SSLRandomSeed connect builtin SSLLog      /var/log/apache/ssl_engine_log SSLLogLevel info </IfModule> <IfDefine SSL> ... #--webmail based on twig <VirtualHost 159.93.17.129:443>     ServerName alone.jinr.dubna.su     DocumentRoot /usr/local/www/data/alone    SSLEngine on    SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL    SSLCertificateFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.crt/server.crt    SSLCertificateKeyFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.key/server.key    <Files ~ "\.(cgi|shtml|phtml|php3?)$">         SSLOptions +StdEnvVars    </Files> <Directory "/usr/local/www/data/alone">     Options Indexes FollowSymLinks MultiViews Includes     CharsetRecodeMultipartForms Off     AllowOverride None     Order allow,deny     Allow from all </Directory>    <Directory "/usr/local/www/cgi-bin">         SSLOptions +StdEnvVars    </Directory>    SetEnvIf User-Agent ".*MSIE.*" \             nokeepalive ssl-unclean-shutdown \             downgrade-1.0 force-response-1.0    CustomLog /var/log/apache/ssl_request.log \              "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> </IfDefine> вот в последнем If идет конкретно для webmail построенном на twig'е на настройки в директивах <Directory> можно не обращать внимания, сделаны под себя и под свои нужды
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "apache+modssl"
	Сообщение от dimabsd (ok) on 25-Май-04, 19:32  (MSK)
	Ну вот все уже пересмотрел. Все стоит как у Вас, ну не хочет работать. ввожу shell# apachectl startssl Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide us with the pass phrases. Server www.globalnets.ru:443 (RSA) Ok: Pass Phrase Dialog successful. /usr/local/sbin/apachectl startssl: httpd started в логах ssl ничего. В логах apacha: [notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations [Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock) www.moydomen.ru - невозможно отобразить страницу www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru www.globalnets.ru - невозможно отобразить страницу Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!! Все по документации. Спецы помогите где еще можно копнуть!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "apache+modssl"
	Сообщение от lavr on 26-Май-04, 15:31  (MSK)
	>Ну вот все уже пересмотрел. >Все стоит как у Вас, ну не хочет работать. >ввожу > >shell# apachectl startssl >Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog) >Some of your private key files are encrypted for security reasons. >In order to read them you have to provide us with the >pass phrases. > >Server www.globalnets.ru:443 (RSA) > >Ok: Pass Phrase Dialog successful. >/usr/local/sbin/apachectl startssl: httpd started не надоело еще парольную фразу вводить? # cp server.key server.key.secure # openssl rsa -in server.key.secure -out server.key # chmod 400 server.key >в логах ssl ничего. > >В логах apacha: >[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations >[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock) > >www.moydomen.ru - невозможно отобразить страницу >www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru >www.globalnets.ru - невозможно отобразить страницу > >Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!! >Все по документации. >Спецы помогите где еще можно копнуть! тебе задали вопрос: используешь один IP для виртуальных серверов? что говорит: # nslookup -q=a www.moydomen.ru. # nslookup -q=a www.globalnets.ru. ну и дай url на свой httpd.conf кроме того: openssl x509 -noout -text -in /usr/local/etc/apache/ssl.crt/server.crt openssl s_client -connect ip.add.re.ss:443 -state -debug
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "apache+modssl"
	Сообщение от dimabsd (??) on 26-Май-04, 20:22  (MSK)
	Ситуация такая. Нужна поднять ssl в таком виде. http://www.moydomen.ru основной сайт. Также имеется просмотр статистики для клиента, и web почта (sqwebmail) Вот именно на эти рессурсы и надо поднять защищенное соединение ssl. На примере webmail-a. На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача. Вот как это поднять?   nslookup есьесьвенно показывает мой ip. 8-) Вывод остальных команд смогу проверить позже. Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www и общие рекомендации.(если это возможно без вывода этих команд)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "apache+modssl"
	Сообщение от lavr on 27-Май-04, 11:49  (MSK)
	>Ситуация такая. >Нужна поднять ssl в таком виде. >http://www.moydomen.ru основной сайт. >Также имеется просмотр статистики для клиента, и web почта (sqwebmail) >Вот именно на эти рессурсы и надо поднять защищенное соединение ssl. >На примере webmail-a. >На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на >http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при >вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача. >Вот как это поднять? > nslookup есьесьвенно показывает мой ip. 8-) сделаешь разные ip для тех fqdn где тебе нужно SSL и все заработает, разумеется server.key для каждого fqdn свой, а crt можешь подписать использую свой ca.crt для каждого fqdn с ssl доступом >Вывод остальных команд смогу проверить позже. >Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www >и общие рекомендации.(если это возможно без вывода этих команд) без проблем.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.