Reseni apache a SSL

[Dan Ohnesorg, admin of POWER]

Vzhledem k tomu, ze muj dotaz vzbudil velky zajem a problem se mi 
podarilo vyresit posilam reseni do konference, aby se dalo najit v 
archivu. Pokud bude nekomu vadit delsi prispevek, ktery ho nezajima, 
tak se omlouvam a reakce ocekavam vyhradne na me adrese.

Jmena jsem upravil, hlavni jmeno je server1, alis je server2

Ocesal jsem to o parametry bez vztahu k ssl.
Co se mi nepodarilo vyresit je pristup z microsoft exploreru 3.02, neustale 
me odmita uznat za ceritifikacni autoritu a s hlaskou operation 
completed succesfully :-)) stranku neotevre. Dostal jsem tip na nejakou extra 
verzi pro ameriku s embargem na vyvoz kvuli RSA. Ale ta nesla do ceskych 
windows nainstalovat s tim, ze je to bad language version.
Ostatni verze exploreru jsou OK, stejne tak vsechny verze netscape.

httpd.conf:


#Nelze pouzit jinou verzi nez standalone
ServerType standalone

Port 80

Listen 80
Listen 443
SSLDisable

HostnameLookups on

User nobody 
Group nobody 
# predchazejici dva radky jsem tam musel dat kvuli SSL, predtim jsem je mel zaremovane

BindAddress server1.domena.cz
BindAddress server2.domena.cz

# NE SSL server
<VirtualHost server2.domena.cz:80>
SSLDisable
DocumentRoot /home/server2/html
ServerName server2.domena.cz
</VirtualHost>

#SSL server
<VirtualHost server2.domena.cz:443>
DocumentRoot /home/server2/html
ServerName server2.domena.cz
SSLCACertificatePath /etc/httpsd/conf
SSLCertificateFile /etc/httpsd/conf/httpsd.pem
SSLCACertificateFile /etc/httpsd/conf/httpsd.pem
SSLLogFile /etc/httpsd/logs/ssl_log
SSLVerifyClient 0
SSLVerifyDepth 10
SSLFakeBasicAuth
</VirtualHost>

#Hlavni server pristup pres SSL
<VirtualHost server1.domena.cz:443>
DocumentRoot /home/httpd/html
SSLCACertificatePath /etc/httpsd/conf
SSLCertificateFile /etc/httpsd/conf/httpsd.pem
SSLCACertificateFile /etc/httpsd/conf/httpsd.pem
SSLLogFile /etc/httpsd/logs/ssl_log
SSLVerifyClient 0
SSLVerifyDepth 10
SSLFakeBasicAuth
</VirtualHost>


SSL verzi jsem nasmeroval do jineho adresare nez normalni root a strany jsem tam prenesl, v 
puvodnim adresari jsem potom zalozil odkazy na nove adresare, ale jen na ty, ktere zverejnuji bez 
zabezpeceni.

Dale jsem do serveru zakomponoval mod czech, je nutna uprava jednoho jedineho radku, aby se port 
na kterem se komunikuje mohl za behu dynamicky nacitat z konfigurace. Prislusny patch bude k 
dispozici primo na serveru odkud se mod czech distribuuje. Za chvilku ho tam poslu.

Cele je to akci videt na https://www2.mzcr.cz (nektere veci tam nechodi, nejde mi nejak prelozit 
mysql s 2.0.32 jadrem, ale ssl chodi)

zdravim
dan
_________________________________________
Dan Ohnesorg

správce databáze seznamu vykonů
Ministerstvo zdravotnictví ČR
Odbor zdravotního pojištění
tel. +420 2 24972109
fax. +420 2 24915986
We are user friendly
_________________________________________

WHO is general failure, and WHY is he reding MY disk????