[VYRESENO] Re: apache mod_ssl IE na ....

Petr Bartel cyber na irix-servis.cz
Středa Listopad 30 13:04:18 CET 2005 

Petr Bartel wrote:
> Bry dopoledne,
> mel bych tu jeste jeden problemek.Mam apache v nasledujici konfiguraci
> 
> Apache/2.0.54 (Debian GNU/Linux) PHP/4.4.0-4 mod_ssl/2.0.54
> OpenSSL/0.9.7g Server
> 
> a snazim se poskytovat webmail
> 
> takze mam virtual hosty
> 
> <VirtualHost *:80>
>         ServerAdmin webmaster na nekde.cz
>         DocumentRoot /usr/share/squirrelmail/
>         ServerName webmail.nekde.cz
>         AddDefaultCharset ISO-8859-2
> </VirtualHost>
> 
> <VirtualHost *:443>
>         SSLEngine on
>         SSLCACertificateFile /etc/apache2/ssl/nejakyhost.cz-ca.crt
>         SSLCertificateFile /etc/apache2/ssl/nejakyhost.cz.crt
>         SSLCertificateKeyFile /etc/apache2/ssl/nejakyhost.cz.key
>         ServerAdmin webmaster na nekde.cz
>         DocumentRoot /usr/share/squirrelmail/
>         ServerName webmail.nekde.cz:443
>         AddDefaultCharset ISO-8859-2
> </VirtualHost>
> 
> to mam ted to zname kazdy zvlast funguje to mam ted kvuli tomu IE,
> predtim jsem tam mel na u http jinej DocumentRoot a tam index.php ktery
> mi to presmeroval Header Location na https:// ale IE si vubec neporadi s
>  SSL, ve FF naprosto bez problemu v lynxu taky :)
> 
> docetl jsem se ...
> 
> http://www.modssl.org/docs/2.8/ssl_faq.html#ToC49
> 
> ale nejak moc to nepomhlo
> 
> mod_ssl.conf
> 
> <IfModule mod_ssl.c>
> 
> SSLRandomSeed startup builtin
> SSLRandomSeed connect builtin
> 
> AddType application/x-x509-ca-cert .crt
> AddType application/x-pkcs7-crl    .crl
> 
> SSLPassPhraseDialog  builtin
> 
> SSLSessionCache         dbm:/var/run/apache2/ssl_scache
> SSLSessionCacheTimeout  300
> 
> SSLMutex  file:/var/run/apache2/ssl_mutex
> SSLCipherSuite
> ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
> 
> SetEnvIf User-Agent ".*MSIE.*" \
>          nokeepalive ssl-unclean-shutdown \
>          downgrade-1.0 force-response-1.0
> </IfModule>
> 
> Takze pokud nekdo provozuje neco podobneho a vi jak na to prosim o radu
> 
> Diky
> 
>   Petr Bartel


Takze cely zakopany pes byl v tom ze se mi podarilo vygenerovat vlastni
CA ktera mela ve svem certifikatu CA:FALSE takze byla neduveryhodna
vzdy, mohlo za to pravdepodobne nastaveni v openssl.cnf kde v sekci
CA_default je nasmerovani na sekci usr_cert kde je CA:FALSE vyreseil
jsem to tedy na dobu vygenerovani CA odkazem na sekci v3_ca kde je
CA:TRUE a po vygenerovani CA jsem zmenil zpet. Generoval jsem pomoci
CA.pl -newca. Jestli to jde nejak jinak rad se poucim.

Tak diky

       Petr

Další informace o konferenci Linux