Apache 2.2.0 + SSL

  Для чего это нужно?

После установки СУБД pgsql и почтового сервера на базе postfix, я не пренебрег установкой web-интерфейсов для более удобного

управления сервером. Понятное дело, что оставлять открытым интерфейс управления сервером я нехотел, поэтому в директориях были созданы htaccess

и htpasswd файлы. Теперь получить доступ могли лишь избранные. Но ситуация не хотела изменяться: в логах я видел попытки подобрать пароль.

Что-бы хоть как-то защититься было решено разрешить доступ не по http протоколу, а по https. То есть по шифрованному соединению. Чем я и занялся.



Установка и первоначальная настройка.

Я как обычно ставить буду из портов. Советую перед установкой обновить их.

# cd /usr/ports/www/apache22/
	# make install clean

Все конфигурационные файлы располагаются теперь в /usr/local/etc/apache22/. Давайте отредактируем httpd.conf, а именно добавим/исправим:

# Слушаем 80 порт
	Listen 80

# Имя сервера
	ServerName      fr33man.ru

# Каталог, где храняться html файлы
	DocumentRoot "/usr/local/www/html/"

# Папка для скриптов
	ScriptAlias /cgi-bin/ "/usr/local/www/cgi-bin/"

# Пользовательские странички хранятся в ~/www каталоге
	UserDir www

# Описываем каталоги пользователей
	< Directory "/home/*/www">
	    AllowOverride       None
	    Options             Indexes
	    Order       Deny,Allow
	    Allow       from    All
	< /Directory>

# Описываем папку со скриптами и с Html страничками
	< Directory "/usr/local/www/cgi-bin/">
	    AllowOverride None
	    Options ExecCGI
	    Order Allow,Deny
	    Allow from All
	< /Directory>


	< Directory "/usr/local/www/html/">
	    Options Indexes FollowSymLinks
	    AllowOverride None
	    Order allow,deny
	    Allow from all
	< /Directory>

Здесь мы указываем, что странички пользователей будут храниться в папке www, в их домашнем каталоге. Так же мы описываем каждую директорию.

Для начала остановимся на этом, и перейдем к настроке SSL.



Настройка SSL.

Перед настройкой сервера создадим сертефикаты:

# cat gen.sh

	#!/bin/sh
	
	openssl genrsa -des3 -rand /dev/random -out server.key 1024
	openssl rsa -in server.key -out server.pem
	openssl req -new -key server.key -out server.csr
	openssl x509 -req -days 365 -in server.csr -signkey \
        server.key -out server.crt

# ./gen.sh

	2048 semi-random bytes loaded
	Generating RSA private key, 1024 bit long modulus
	...............++++++
	.....++++++
	e is 65537 (0x10001)
	Enter pass phrase for server.key:
	Verifying - Enter pass phrase for server.key:
	Enter pass phrase for server.key:
	writing RSA key
	Enter pass phrase for server.key:
	You are about to be asked to enter information that will be 
        incorporated
	into your certificate request.
	What you are about to enter is what is called a Distinguished 
        Name or a DN.
	There are quite a few fields but you can leave some blank
	For some fields there will be a default value,
	If you enter '.', the field will be left blank.
	-----
	Country Name (2 letter code) [AU]:RU
	State or Province Name (full name) [Some-State]:Russia
	Locality Name (eg, city) []:Moscow
	Organization Name (eg, company) [Internet Widgits Pty Ltd]:Fr33man inc
	Organizational Unit Name (eg, section) []:
	Common Name (eg, YOUR name) []:ssl.fr33man.ru
	Email Address []:fr33man@fr33man.ru

	Please enter the following 'extra' attributes
	to be sent with your certificate request
	A challenge password []:
	An optional company name []:
	Signature ok
	subject=/C=RU/ST=Russia/L=Moscow/O=Fr33man inc/CN=ssl.fr33man.ru/
	emailAddress=fr33man@fr33man.ru
	Getting Private key
	Enter pass phrase for server.key:

# ls

	gen.sh          server.crt      server.csr      server.key      server.pem

Все прошло без проблем, осталось перенести их в надежное место:

# cp server.* /usr/local/etc/apache22/

После этого добавляем в httpd.conf строку:

Include etc/apache22/extra/httpd-ssl.conf

Последний шаг — редактирование httpd-ssl.conf:

# Слушаем 443 порт
	Listen 443

# Добавляем типы, для сертефикатов
	AddType application/x-x509-ca-cert .crt
	AddType application/x-pkcs7-crl    .crl

# На запрос пароля выполняем скрипт
	SSLPassPhraseDialog |/usr/local/etc/apache22/echo

# Параметры SSL кэша
	SSLSessionCache        shmcb:/var/run/ssl_scache(512000)
	SSLSessionCacheTimeout  300
	SSLMutex  file:/var/run/ssl_mutex
	
# Описываем виртуальный хост
	< VirtualHost 213.251.193.69:443>
	
	DocumentRoot "/usr/local/www/html/"
	ServerName ssl.fr33man.ru:443
	ServerAdmin postmaster@fr33man.ru
	ErrorLog /var/log/httpd-error.log
	TransferLog /var/log/httpd-access.log
	
	    Alias /admin/ "/usr/local/www/secretarea/"
	
	    < Directory "/usr/local/www/secretarea">
	        Options All
	        AllowOverride All
	       Order Deny,Allow
	        Allow from all
	    < /Directory>
	
	    < Directory "/usr/local/www/html/">
	        Options Indexes FollowSymLinks
	        AllowOverride None
	        Order allow,deny
	        Allow from all
	    < /Directory>
	
# Включаем режим SSL и указываем пути к сертефикатам
	SSLEngine on
	SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+
        LOW:+SSLv2:+EXP:+eNULL
	SSLCertificateFile /usr/local/etc/apache22/server.crt
	SSLCertificateKeyFile /usr/local/etc/apache22/server.key
	
	< FilesMatch "\.(cgi|shtml|phtml|php)$">
	    SSLOptions +StdEnvVars
	< /FilesMatch>
	< Directory "/usr/local/www/apache22/cgi-bin">
	    SSLOptions +StdEnvVars
	< /Directory>
	
	BrowserMatch ".*MSIE.*" \
	         nokeepalive ssl-unclean-shutdown \
	         downgrade-1.0 force-response-1.0

	CustomLog /var/log/httpd-ssl_request.log \
	          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

	< /VirtualHost>

Так как директория admin не описана в httpd.conf, то по протоколу http она доступна не будет, но будет доступна через https.

В httpd-ssl.conf промелькнул файл /usr/local/etc/apache22/echo. Это простой sh-скрипт, который выводит на экран пароль от секретного ключа:

# cat /usr/local/etc/apache22/echo

	#!/bin/sh

	/bin/echo passphrase
	
# ls -la /usr/local/etc/apache22/echo
	-rwx------  1 root  wheel  27 Feb 12 09:54 /usr/local/etc/apache22/echo

А нужен он для того, чтобы при перезагрузке apache не спрашивал парольную фразу.

Осталось запустить apache и проверить это все в работе:

/usr/local/etc/rc.d/apache22.sh start

Теперь, если Вы зайдете по адресу https://ssl.fr33man.ru, то Вас спросят: принять или не принять данный сертификат.

Прошу заметить, что при обращении http://fr33man.ru/admin/ выдается страничка Not Found, а при обращении по https://ssl.fr33man.ru/admin/ просят ввести пароль, из-за 

того, что я поставил там htaccess - файл.



Заключение.

Про ssl я читал здесь: mod_ssl и в гугле.

размещено: 2006-11-08,

				последнее обновление: 2006-11-08,

				автор: fr33man

ALex_hha, 2006-11-11 в 16:43:11

Только не забываем, что сделать несколько сертификатов на разные виртуальные хосты не получится. >Все прошло без проблем, осталось перенести их в надежное место: а права на файлы с ключами кто будет устанавливать? >А нужен он для того, чтобы при перезагрузке apache не спрашивал парольную фразу. ее вообще можно убрать

fr33man, 2006-11-11 в 19:57:45

> а права на файлы с ключами кто будет устанавливать? У меня права по умолчанию 0400. >ее вообще можно убрать Можно, но зачем?

pushkin, 2006-11-22 в 12:20:43

Привет, Может кто подскажет можна ли для второго апача написать модуль который будет каждые 5 минут перечитывать данные с файла и кешировать в server_rec.

johndau, 2007-01-25 в 11:32:01

Вместо > # На запрос пароля выполняем скрипт > SSLPassPhraseDialog |/usr/local/etc/apache22/echo Следует # На запрос пароля выполняем скрипт SSLPassPhraseDialog exec:/usr/local/etc/apache22/echo

maslivets, 2007-05-05 в 7:34:26

После установик возникла проблемка.. При запуски выдавало: "[warn] (2)No such file or directory: Failed to enable the 'httpready' Accept Filter" Гуугля спасла ситуацию... )) Необходимо добавить строку в /boot/loader.conf 'accf_http_load="YES"'

Сергей, 2007-07-05 в 12:47:47

cd /usr/ports/www/apache22/ make WITH_STATIC_MODULE="ssl" сделал все как было написано ./apache22 start умирает... в логах пусто в httpd.conf убираю Include etc/apache22/extra/httpd-ssl.conf работает нормально плизз хелп.

freeman, 2007-08-08 в 14:31:58

nf;t проблема что и у Сергея у меня пишет сто server.crt не создан или пуст и апачь не поднимается!

serg17, 2007-09-30 в 13:57:19

У меня с таким набором отказался запускаться,стартовал апач без ссл.Вылечилось так. etc/rc.conf apache2_enable="YES" apache2ssl_enable="YES" apachectl startssl

Сергей, 2007-10-07 в 1:27:52

Спасибо аффтору за статью. Получилось настроить под windows xp. По поводу сертификатов - нашёл где дают халявные сертификаты на 90 дней: [url=http://www.instantssl.com/ssl-certificate-products/free-ssl-certificate.html] Генерите csr-файл как описано в этой статье и получаете сертификат на 90 дней. Проверял на iexplore 6 и 7, firefox 2.0.0.7 - опознают сертификаты как trusted.

Al, 2007-10-23 в 13:03:28

Если нужно пускать только тех пользователей, которые имеют сертификаты,в папке с сертификатами создаем: #!/bin/sh #в дону строку openssl req -new -newkey rsa:1024 -nodes -keyout client01.key -subj /C=RU/ST=Tver/L=Tver/O=Inc/OU=Firm/CN=Alex/emailAddress=you@mail -out client01.csr openssl rsa -noout -text -in client01.key openssl req -noout -text -in client01.csr openssl ca -config ca.config -in client01.csr -out client01.crt -batch openssl x509 -noout -text -in client01.crt openssl pkcs12 -export -in client01.crt -inkey client01.key -certfile ca.crt -out client01.p12 В данном примере сертификаты сервера используются с приставкой `ca`. В статье с приставкой `server`.Полученные сертификаты необходимо установить в клиентский браузер,с которого разрешим смотреть страницу. Далее в httpd-ssl.conf дописываем,к каким страницам доступ только по сертификатам <Location /phpmyadmin> SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile /usr/local/etc/apache21/sert/ca.crt </Location> я закрыл phpmyadmin, шоб не лазили всякие.....

Al, 2007-10-23 в 13:07:51

Там же должен быть ca.config: [ ca ] default_ca = CA_CLIENT [ CA_CLIENT ] dir = ./db certs = $dir/certs new_certs_dir = $dir/newcerts database = $dir/index.txt serial = $dir/serial certificate = ./ca.crt private_key = ./ca.key default_days = 365 default_crl_days = 7 default_md = md5 policy = policy_anything [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional И не забываем создавать папки mkdir db mkdir db/certs mkdir db/newcerts touch db/index.txt echo "01" > db/serial

kaiman, 2007-11-27 в 8:28:00

Apache не запускался в автомате. в /etc/rc.conf были добавлены строчки: apache22_enable="YES" apache22_http_accept_enable="YES" однако Апач так и не запускался! скрипт /usr/local/etc/rc.d/apache22 start вел себя как то странно, молчал и Apache не запускал. Однако командой apachectl start все запускалось и работало! Проблему решил внимательным изучением скрипта /usr/local/etc/rc.d/apache22 в /etc/rc.conf добавил еще одну строчку: apache22_flags="-k start"

Zer0, 2008-01-15 в 17:04:02

>>Только не забываем, что сделать несколько сертификатов на разные виртуальные хосты не получится. работает на 2 хоста на ура с разными сертификатами

sens, 2008-04-02 в 23:26:09

это надо для первого Апача SSLPassPhraseDialog exec:/usr/local/etc/apache22/echo для второго работает и так SSLPassPhraseDialog |/usr/local/etc/apache22/echo П.С. в статье же 2 апач обсуждали :)

xxxa, 2008-04-05 в 20:40:09

Сергей, 2007-07-05 в 12:47:47 cd /usr/ports/www/apache22/ make WITH_STATIC_MODULE="ssl" freeman, 2007-08-08 в 14:31:58 nf;t проблема что и у Сергея у меня пишет сто server.crt не создан или пуст и апачь не поднимается! http://ssl.technic.lt

maslivets, 2008-04-15 в 13:34:02

Народ лично у меня когдато была такая же трабла с не запуском апача.. но немного покапался и просто заменил SSLPassPhraseDialog |/usr/local/etc/apache22/echo на SSLPassPhraseDialog exec:/usr/local/etc/apache22/echo и все отлично забегало.. если проблема не в этом то замените хотя бы на SSLPassPhraseDialog builtin после чего стартовать апач вручную (#apachectl start).. тогда увидете все ваши траблы...

akril, 2008-05-15 в 0:47:35

Подскажите, плз! может я слишком был пьян, когда делал все, что здесь написано но: во-первых отстутствует файл server.crt и server.csm. B во вторых, при запуске gen.sh в конце выдает несколько ошибок. В частности: server/csr: No such file or directory 47634:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/usr/src/secure/lib/libcrypto/../../.. /crypto/openssl/crypto/conf/conf_lib.c:329:group=req_attributes name=unstructuredName_min 47634:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/usr/src/secure/lib/libcrypto/../../.. /crypto/openssl/crypto/conf/conf_lib.c:329:group=req_attributes name=unstructuredName_max 47634:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../.. /crypto/openssl/crypto/bio/bss_file.c:352:fopen('server/csr','w') 47634:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:354: server/csr: No such file or directory Я не установил какой-то модуль?

Zer0, 2008-05-15 в 16:03:51

server/csr: No such file or directory

v_german, 2008-07-17 в 16:50:59

плохая стаття . для начинающих не годиться. откуда взялся файл gen.sh в директории с сертификатами? что за команжы : # cat gen.sh #!/bin/sh # ./gen.sh ????

Fastman, 2008-07-17 в 16:54:57

то v_german. а ты открой глаза пошире, и прежде чем говорить что статья плохая, подумай для кого вот это написанно: # cat gen.sh #!/bin/sh openssl genrsa -des3 -rand /dev/random -out server.key 1024 openssl rsa -in server.key -out server.pem openssl req -new -key server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey \ server.key -out server.crt Тебе дали вывод содержимого файла который ты должен сделать. Чего еще непонятно ?

v_german, 2008-07-20 в 21:37:18

Fastman, стятья отличная, я первый в уникс, прошу меня простить.

apache22, 2008-07-23 в 20:32:23

простите за вопрос такой скромный...для apache22 нада оттельно ставить ssl ?

AndreyK, 2008-08-21 в 14:34:16

1) Создаем секретный ключ для сервера, без пароля: >openssl genrsa -out my.host.dom.key 1024 2) Создаем строку запроса на получение SSL сертификата (certificate signing request, CSR), например, этот ключ подпишет COMODO(http://www.positivessl.com/) или кому заплатим ( www.ssl.ru ). Заполнять аккуратно. Важно - надо ввести на вопрос" Common Name (eg, YOUR name) []:" полное доменное имя сайта, который будет использовать сертификат. >openssl req -new -key my.host.dom.key -out my.host.dom.csr 3)Высылаем файл my.host.dom.csr в компанию которая его подписывает. Получаем, как получиться, файл my.host.dom.crt. Этот файл в месте с секретным файлом my.host.dom.key используем для сайта. 4)Если хотим использовать временный сертификат на 365 дней, то можно запрос, my.host.dom.csr, подписать самим. Например так: >openssl x509 -req -days 365 \ -in my.host.dom.csr -out my.host.dom.crt \ -signkey my.host.dom.key

German, 2008-08-21 в 21:13:33

openssl rsa -in server.key -out server.key - отключить парольную фразу при старте apache .

German, 2008-08-21 в 23:12:19

В apache22 можно использовать файлы .htaccess для защиты директорий ?

alex_tesla, 2008-10-14 в 10:10:17

В статье заметил: При генерации ключей, командой openssl rsa -in server.key -out server.pem снимается парольная фраза с ключа. Ну и это приводит к бессмысленности существования и использования зашифрованного аналога. Поэтому в httpd-ssl.conf можно поменять в строке SSLCertificateKeyFile /usr/local/etc/apache22/server.key расширение .key на .pam ну и SSLPassPhraseDialog builtinи не замарачиваться с echo И еще... у меня по-умолчанию в httpd.conf не добавилась строка LoadModule ssl_module libexec/apache22/mod_ssl.so добавил вручную... без нее апач будет ругаться на неизвестные атрибуты.

Migelius, 2009-01-20 в 11:24:44

Люди помогите! Я чайник в этом деле, пока. После проделывание всего вышеописанного у меня выдаёт при попытке запуска Апача такое: WARNING: run_rc_command: cannot run /usr/local/sbin/httpd Я залез в эту директорию /usr/local/sbin/ и там действительно нету исполняемого файла httpd. Он там должен быть? И как его вернуть? Версия FreeBSD 7.0

Olmx, 2009-06-09 в 19:54:29

Сделал все как написано в статье. Apache стартует нормально, но при обращении серверу в логах вываливается invalid method in request \x16 \x03 x01 Где и куда копать?

Olmx, 2009-06-10 в 9:48:15

Вопрос снят!!! Разобрался. Спасибо за внимание!!!

RomkA, 2009-07-08 в 9:55:15

apache-2.2.11_7 при старте не запускался. по посту maslivets изменил SSLPassPhraseDialog |/usr/local/etc/apache22/echo на SSLPassPhraseDialog exec:/usr/local/etc/apache22/echo. Теперь все стартует:) Спасибо за статью!

Fenix, 2009-11-30 в 20:37:16

разные сертификаты для виртуальных хостов сделать очень даже получится. Курить гугл на предмет mod_gnutls

hh, 2010-01-28 в 16:57:53

Получится в апач версии 2.2.14

rogue, 2011-08-08 в 8:32:18

Есчо вариант с проверкой пароля: SSLPassPhraseDialog exec:/usr/local/etc/apache22/startssl.pl ee /usr/local/etc/apache22/startssl.pl #!/usr/bin/perl print "ваш_пасс\n";