Reseni apache a SSL
Dan Ohnesorg, admin of POWER
dan na feld.cvut.cz
Pátek Listopad 28 22:43:41 CET 1997
Vzhledem k tomu, ze muj dotaz vzbudil velky zajem a problem se mi
podarilo vyresit posilam reseni do konference, aby se dalo najit v
archivu. Pokud bude nekomu vadit delsi prispevek, ktery ho nezajima,
tak se omlouvam a reakce ocekavam vyhradne na me adrese.
Jmena jsem upravil, hlavni jmeno je server1, alis je server2
Ocesal jsem to o parametry bez vztahu k ssl.
Co se mi nepodarilo vyresit je pristup z microsoft exploreru 3.02, neustale
me odmita uznat za ceritifikacni autoritu a s hlaskou operation
completed succesfully :-)) stranku neotevre. Dostal jsem tip na nejakou extra
verzi pro ameriku s embargem na vyvoz kvuli RSA. Ale ta nesla do ceskych
windows nainstalovat s tim, ze je to bad language version.
Ostatni verze exploreru jsou OK, stejne tak vsechny verze netscape.
httpd.conf:
#Nelze pouzit jinou verzi nez standalone
ServerType standalone
Port 80
Listen 80
Listen 443
SSLDisable
HostnameLookups on
User nobody
Group nobody
# predchazejici dva radky jsem tam musel dat kvuli SSL, predtim jsem je mel zaremovane
BindAddress server1.domena.cz
BindAddress server2.domena.cz
# NE SSL server
<VirtualHost server2.domena.cz:80>
SSLDisable
DocumentRoot /home/server2/html
ServerName server2.domena.cz
</VirtualHost>
#SSL server
<VirtualHost server2.domena.cz:443>
DocumentRoot /home/server2/html
ServerName server2.domena.cz
SSLCACertificatePath /etc/httpsd/conf
SSLCertificateFile /etc/httpsd/conf/httpsd.pem
SSLCACertificateFile /etc/httpsd/conf/httpsd.pem
SSLLogFile /etc/httpsd/logs/ssl_log
SSLVerifyClient 0
SSLVerifyDepth 10
SSLFakeBasicAuth
</VirtualHost>
#Hlavni server pristup pres SSL
<VirtualHost server1.domena.cz:443>
DocumentRoot /home/httpd/html
SSLCACertificatePath /etc/httpsd/conf
SSLCertificateFile /etc/httpsd/conf/httpsd.pem
SSLCACertificateFile /etc/httpsd/conf/httpsd.pem
SSLLogFile /etc/httpsd/logs/ssl_log
SSLVerifyClient 0
SSLVerifyDepth 10
SSLFakeBasicAuth
</VirtualHost>
SSL verzi jsem nasmeroval do jineho adresare nez normalni root a strany jsem tam prenesl, v
puvodnim adresari jsem potom zalozil odkazy na nove adresare, ale jen na ty, ktere zverejnuji bez
zabezpeceni.
Dale jsem do serveru zakomponoval mod czech, je nutna uprava jednoho jedineho radku, aby se port
na kterem se komunikuje mohl za behu dynamicky nacitat z konfigurace. Prislusny patch bude k
dispozici primo na serveru odkud se mod czech distribuuje. Za chvilku ho tam poslu.
Cele je to akci videt na https://www2.mzcr.cz (nektere veci tam nechodi, nejde mi nejak prelozit
mysql s 2.0.32 jadrem, ale ssl chodi)
zdravim
dan
_________________________________________
Dan Ohnesorg
správce databáze seznamu vykonů
Ministerstvo zdravotnictví ČR
Odbor zdravotního pojištění
tel. +420 2 24972109
fax. +420 2 24915986
We are user friendly
_________________________________________
WHO is general failure, and WHY is he reding MY disk????
Další informace o konferenci Linux