[ главная ]   [ рейтинг статей ]   [ справочник радиолюбителя ]   [ новости мира ИТ ]



Ответов: 0
25-02-12 07:01







   Web - программирование
PHP


ASP






XML



CSS

SSI





   Программирование под ОС











   Web - технологии








   Базы Данных









   Графика






Данные




Web - технологии / Серверы /

Установка Apache с поддержкой SSL


По материалам статей:

Stricty (http://www.opennet.ru/base/sec/ssl_freebsd.txt.html)

Alexch (http://www.opennet.ru/base/net/apache_mod_ssl.txt.html)

Недавно на OpenNET были опубликованы две статьи на тему установки

Apache с поддержкой SSL под FreeBSD.

Ключевой момент - генерация сертификатов.

И если в статье у Stricty представлена хоть и не совсем удачная

(малопонятна система именования файлов, лишние действия), но по

крайней мере самостоятельная попытка разобраться в этом вопросе,

то у alexch - чистой воды плагиат.

Не согласен с комментарием Максима Чиркова - нового в этой статье

ничего нет. Такого сорта статьи только запутывают читателей.

На самом деле не нужно заново изобретать велосипед, в стандартной

поставке Apache + mod_ssl и в openssl есть все необходимое.

Установка Apache 1.3 с поддержкой SSL делается очень просто:

cd /usr/ports/www/apache13-modssl (английская версия)



или

cd /usr/ports/russian/apache13-modssl (русская версия)

make

make certification TYPE=custom

make install



при генерации сертификатов создается нешифрованный ключ корневого

сертификата (ca.key), сертификационный запрос (ca.csr) и

самоподписанный корневой сертификат (ca.crt), нешифрованный ключ

сервера (server.key) сервера, сертификационный запрос (server.csr)

и подписанный корневым сертификатом собственно сертификат сервера

(server.crt). Будет предложено зашифровать ключи.

При ответе на вопросы в процессе генерации сертификационного запроса

сервера необходимо учесть, что commonName - это обязательно главное

доменное имя хоста. Для сертификационного запроса корневого

сертификата этот параметр не имеет значения.

Ключи можно шифровать, а можно и не шифровать. При запуске Apache с

шифрованным ключом потребуется ввести пароль, это можно сделать с

помощью внешней программы.

И самое главное - файл корневого сертификата ca.crt необходимо

передать на клиентский компьютер и ввести в хранилище сертификатов

браузера. Только в этом случае при обращении к нашему серверу по

защищенному протоколу браузер НЕ БУДЕТ выдавать предупреждение, что

сертификат выдан организацией, не входящей в состав доверенных.

Авторы вышеупомянутых статей предлагают прописывать ссылку на файл

корневого сертификата в строке

SSLCACertificateFile /usr/local/etc/apache/ssl.crt/ca.crt



конфигурационного файла httpd.conf, но это неверно.

Данная опция предназначена для организации проверки сертификатов

КЛИЕНТОВ на стороне сервера.

Сгенерировать сертификаты можно и по другому.

В состав дистрибутива openssl входят скрипты CA.sh и CA.pl

cd /usr/local/openssl/misc



создаем корневой сертификат

./CA.sh -newca



генерируем личный ключ и сертификационный запрос сервера

./CA.sh -newreq



и подписываем его своим корневым сертификатом.

./CA.sh -sign



переписываем ключ и сертификат сервера в служебный каталог Apache

cp newreq.pem /usr/local/etc/apache/sslkey/server.key

cp newcert.pem /usr/local/etc/apache/ssl.crt/server.crt



Файл корневого сертификата ./demoCA/cacert.pem необходимо

распространить по клиентским компьютерам.

Если кто желает узнать о генерации ключей и сертификатов в большей

мере, рекомендую обратиться к документации на ssl

lynx /usr/local/share/doc/apache/manual/mod/mod_ssl/ssl_faq.html




Комментарии

 Ваш комментарий к данному материалу будет интересен нам и нашим читателям!



Последние статьи: Web - технологии / Серверы /

Сервер отвечает...
23-12-2010   

Коды состояний обычно генерируются Web-серверами, но иногда это могут делать и CGI-сценарии, CGI-сценарии генерируют собственные заголовки вместо тех, которые должен выдавать сервер. Коды состояний группируются следующим образом:... подробнее

Кол. просмотров: общее - 4116 сегодня - 0

Преобразование ссылок с помощью Apache
12-05-2010   

Допустим, у вас есть работающий веб-сайт, состоящий из большого количества статических html-страниц. Целое шагает хорошо, но вдруг в какой-то момент вы решаете усовершенствовать работу веб-сайта и добавляете динамические скрипты: в результате страничка вестей ныне доступна по ссылке http://www.site.com/cgi-bin/news.cgi вместо прежней http://www.site.com/news.html, а каталог, в котором хранились страницы с описанием российских регионов, радикально перекочевал в динамику... подробнее

Кол. просмотров: общее - 4442 сегодня - 0

Настройка Apache
12-05-2010   

Чтобы использовать Apache Configuration Tool (Инструмент настройки Apache) требуется запустить систему X Window под именем root. Запустить Apache Configuration Tool можно следующим способами... подробнее

Кол. просмотров: общее - 4140 сегодня - 0

Классификация статус-кодов HTTP
19-04-2010   

Классификация статус-кодов HTTP 1ХХ - Информационное. Запрос принят, процесс продолжается... подробнее

Кол. просмотров: общее - 4169 сегодня - 1

Установка IIS 7.0. IIS в Windows Vista
18-04-2010   

IIS 7.0 доступно и в Windows Vista почти со всеми устройствами IIS 7.0... подробнее

Кол. просмотров: общее - 4267 сегодня - 1



  WWW.COMPROG.RU - 2009-2012 | Designed and Powered by Zaipov Renat | Projects