URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 44314
[ Назад ]

Исходное сообщение
"apache+modssl"

Отправлено dimabsd , 24-Май-04 12:55 
Здрасте все.
Ставил apache+modssl по статье https://www.opennet.ru/base/sec/ssl_freebsd.txt.html
При соединении на https://moydomen.ru
в логах апача вот такие записи:
[24/May/2004 14:46:11 64035] [error] SSL handshake failed: HTTP spoken on HTTPS port; trying to send HTML error page (OpenSSL library error follows)
[24/May/2004 14:46:11 64035] [error] OpenSSL: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request [Hint: speaking HTTP to HTTPS port!?]
В броузере соответственно ничего нет!

Что это за ошибка?


Содержание

Сообщения в этом обсуждении
"apache+modssl"
Отправлено dimabsd , 24-Май-04 18:16 
>Что это за ошибка?

Сейчас перенастроил и выскакивает вот такая ошибка

[warn]  Init: Session Cache is not configured [hint: SSLSessionCache]
[error] Init: (moydomen.ru:443) Illegal attempt to re-initialise SSL for server (theoretically shouldn't happen!)

В чем проблема?


"apache+modssl"
Отправлено dimabsd , 25-Май-04 13:23 
Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить apache для ssl.



"apache+modssl"
Отправлено lavr , 25-Май-04 14:03 
>Вообщем вся проблема сводиться к тому, что не получается правильно настроить httpd.conf
>на работу по ssl. Кто нибудб может посоветовать как правильно сконфигурить
>apache для ssl.

для проверки:

openssl s_client -connect host.domain:443 -state -debug

где host.domain - fqdn для которых ты генерил самоподписные сертификаты
смотри что тебе выдается, делай выводы


"apache+modssl"
Отправлено A Clockwork Orange , 25-Май-04 14:11 
а так
https://домен:443

"apache+modssl"
Отправлено lavr , 25-Май-04 14:13 
>а так
>https://домен:443

неинформативно


"apache+modssl"
Отправлено dimabsd , 25-Май-04 18:02 
>>а так
>>https://домен:443
>
>неинформативно
Спасибо, что откликнулись.
Полное описание текущей ситуации описано мною на https://www.opennet.ru/openforum/vsluhforumID3/3664.html - последнее сообщение.
Вввод команды выдал такие результаты.
su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
connect: Connection refused
connect:errno=61

В том что не возможно соединиться (Connection refused), я и так догадался, а вот как это исправить понять пока не могу!!!


"apache+modssl"
Отправлено Nickolay , 25-Май-04 18:05 
есть такой Apache compile HOWTO
я делал по нему и все работает.
искать через гугль

"apache+modssl"
Отправлено lavr , 25-Май-04 18:26 
>>>а так
>>>https://домен:443
>>
>>неинформативно
>Спасибо, что откликнулись.
>Полное описание текущей ситуации описано мною на https://www.opennet.ru/openforum/vsluhforumID3/3664.html - последнее сообщение.
>Вввод команды выдал такие результаты.
>su-2.05b# openssl s_client -connect www.globalnets.ru:443 -state -debug
>connect: Connection refused
>connect:errno=61

# nslookup -q=a www.globalnets.ru.

получаем ip (на этом ip видимо не слушается 443 порт)

либо в httpd.conf что-то не так, либо у тебя один ip используется для
нескольких виртуальных серверов, вот и вся проблема

>В том что не возможно соединиться (Connection refused), я и так догадался,
>а вот как это исправить понять пока не могу!!!

например:

[unix1]~ > ifconfig fxp0
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 159.93.17.121 netmask 0xfffff000 broadcast 159.93.31.255
        inet6 fe80::250:8bff:fe5b:ae06%fxp0 prefixlen 64 scopeid 0x1
        inet 159.93.25.88 netmask 0xffffffff broadcast 159.93.25.88
        inet 159.93.17.129 netmask 0xffffffff broadcast 159.93.17.129
        inet 193.124.144.1 netmask 0xffffff00 broadcast 193.124.144.255
        ether 00:50:8b:5b:ae:06
        media: Ethernet 100baseTX <full-duplex>
        status: active
[unix1]~ >

[unix1]~ > nslookup -q=a alone.jinr.ru.
Server:  sunct0.jinr.ru
Address:  159.93.17.130

Name:    alone.jinr.ru
Address:  159.93.17.129

[unix1]~ > nslookup -q=ptr 159.93.17.129
Server:  sunct0.jinr.ru
Address:  159.93.17.130

129.17.93.159.in-addr.arpa      name = alone.jinr.ru
93.159.IN-ADDR.ARPA     nameserver = ns.jinr.dubna.su
93.159.IN-ADDR.ARPA     nameserver = ns2.jinr.dubna.su
93.159.IN-ADDR.ARPA     nameserver = ns.ru.net
ns.jinr.dubna.su        internet address = 159.93.17.130
ns2.jinr.dubna.su       internet address = 159.93.17.13
ns.ru.net       internet address = 193.124.22.65
[unix1]~ >

httpd.conf
...
<IfDefine SSL>
LoadModule ssl_module         libexec/apache/libssl.so
</IfDefine>
...
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
...
#--lavr 8080 для личных нужд
<IfDefine SSL>
Listen 80
Listen 443
Listen 8080
</IfDefine>
...
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
</IfDefine>

#--lavr общая секция SSL

<IfModule mod_ssl.c>

SSLPassPhraseDialog  builtin
SSLSessionCache         dbm:/var/run/ssl_scache
SSLSessionCacheTimeout  300
SSLMutex  file:/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog      /var/log/apache/ssl_engine_log
SSLLogLevel info

</IfModule>

<IfDefine SSL>
...
#--webmail based on twig
<VirtualHost 159.93.17.129:443>
    ServerName alone.jinr.dubna.su
    DocumentRoot /usr/local/www/data/alone
   SSLEngine on

   SSLCipherSuite ALL:!ADH:!EXP56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

   SSLCertificateFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.crt/server.crt
   SSLCertificateKeyFile /usr/local/etc/apache/alone.jinr.dubna.su/ssl.key/server.key

   <Files ~ "\.(cgi|shtml|phtml|php3?)$">
        SSLOptions +StdEnvVars
   </Files>

<Directory "/usr/local/www/data/alone">

    Options Indexes FollowSymLinks MultiViews Includes
    CharsetRecodeMultipartForms Off
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

   <Directory "/usr/local/www/cgi-bin">
        SSLOptions +StdEnvVars
   </Directory>

   SetEnvIf User-Agent ".*MSIE.*" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0

   CustomLog /var/log/apache/ssl_request.log \
             "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

</IfDefine>

вот в последнем If идет конкретно для webmail построенном на twig'е
на настройки в директивах <Directory> можно не обращать внимания, сделаны
под себя и под свои нужды


"apache+modssl"
Отправлено dimabsd , 25-Май-04 19:32 
Ну вот все уже пересмотрел.
Все стоит как у Вас, ну не хочет работать.
ввожу

shell# apachectl startssl
Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.

Server www.globalnets.ru:443 (RSA)

Ok: Pass Phrase Dialog successful.
/usr/local/sbin/apachectl startssl: httpd started

в логах ssl ничего.

В логах apacha:
[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)

www.moydomen.ru - невозможно отобразить страницу
www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
www.globalnets.ru - невозможно отобразить страницу

Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
Все по документации.
Спецы помогите где еще можно копнуть!


"apache+modssl"
Отправлено lavr , 26-Май-04 15:31 
>Ну вот все уже пересмотрел.
>Все стоит как у Вас, ну не хочет работать.
>ввожу
>
>shell# apachectl startssl
>Apache/1.3.31 mod_ssl/2.8.17 (Pass Phrase Dialog)
>Some of your private key files are encrypted for security reasons.
>In order to read them you have to provide us with the
>pass phrases.
>
>Server www.globalnets.ru:443 (RSA)
>
>Ok: Pass Phrase Dialog successful.
>/usr/local/sbin/apachectl startssl: httpd started

не надоело еще парольную фразу вводить?

# cp server.key server.key.secure
# openssl rsa -in server.key.secure -out server.key
# chmod 400 server.key

>в логах ssl ничего.
>
>В логах apacha:
>[notice] Apache/1.3.31 (Unix) mod_ssl/2.8.17 OpenSSL/0.9.7c configured -- resuming normal operations
>[Tue May 25 16:48:08 2004] [notice] Accept mutex: flock (Default: flock)
>
>www.moydomen.ru - невозможно отобразить страницу
>www.moydomen.ru:443 - пишет, что адресс находиться на https://www.globalnets.ru
>www.globalnets.ru - невозможно отобразить страницу
>
>Караул. Ну нифига понять немогу, ПОЧЕМУ НЕ РАБОТАЕТ!!!!!!!
>Все по документации.
>Спецы помогите где еще можно копнуть!

тебе задали вопрос: используешь один IP для виртуальных серверов?

что говорит:

# nslookup -q=a www.moydomen.ru.
# nslookup -q=a www.globalnets.ru.

ну и дай url на свой httpd.conf

кроме того:

openssl x509 -noout -text -in /usr/local/etc/apache/ssl.crt/server.crt

openssl s_client -connect ip.add.re.ss:443 -state -debug


"apache+modssl"
Отправлено dimabsd , 26-Май-04 20:22 
Ситуация такая.
Нужна поднять ssl в таком виде.
http://www.moydomen.ru основной сайт.
Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
На примере webmail-a.
На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача. Вот как это поднять?  
nslookup есьесьвенно показывает мой ip. 8-)
Вывод остальных команд смогу проверить позже.
Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www и общие рекомендации.(если это возможно без вывода этих команд)

"apache+modssl"
Отправлено lavr , 27-Май-04 11:49 
>Ситуация такая.
>Нужна поднять ssl в таком виде.
>http://www.moydomen.ru основной сайт.
>Также имеется просмотр статистики для клиента, и web почта (sqwebmail)
>Вот именно на эти рессурсы и надо поднять защищенное соединение ssl.
>На примере webmail-a.
>На страничке по адресу http://www.moydomen.ru вводим имя и пароль и попадаем на
>http://www.moydomen.ru/cgi-bin/sqwebmail и клиент проверяет свою почту. А хотелось бы, чтобы при
>вводе данных на http://www.moydomen.ru, он попадал на https://webmail.ru/cgi-bin/sqwebmail вот такая задача.
>Вот как это поднять?
> nslookup есьесьвенно показывает мой ip. 8-)

сделаешь разные ip для тех fqdn где тебе нужно SSL и все заработает,
разумеется server.key для каждого fqdn свой, а crt можешь подписать
использую свой ca.crt для каждого fqdn с ssl доступом

>Вывод остальных команд смогу проверить позже.
>Напишите пока, возможно ли решить такую задачу. т.е локальный адрес без www
>и общие рекомендации.(если это возможно без вывода этих команд)

без проблем.