Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Apache 2.x Win32 и SSL (https)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

LiMan

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемый Cheery привёл цитаты как создавать сертификат.
 
За это ему огромное спасибо...
 
Хочу поделится собственным опытом создания сертификата под WIN32
 
Исключительно по выше описанной технологии...
 
качаем Openssl-0.9.8b-Win32.zip - это полный набор для Openssl-0.9.8b (я качал с __http://hunter.campbus.com/)
 
Качаем оттудаже (например) Apache_2.2.2-Openssl_0.9.8b-Win32.zip
 
Далее  разархивируем Openssl-0.9.8b-Win32.zip куда нам понравится из всего этого набора нам понадобится только  
openssl.exe
ssleay32.dll
libeay32.dll
 
Создаём конфигурационный файл... тут у меня был в загажнике файлик... и поправив его в соответствии опять же с вышеописанной методикой я получил следующее:

Код:
 
#
# SSLeay example configuration file.
# This is mostly being used for generation of certificate requests.
#
 
####################################################################
[ ca ]
default_ca    = CA_default        # The default ca section
 
####################################################################
[ CA_default ]
 
dir             = .                     # Это каталог для работы с ssl  
certs           = $dir/ssl.crt          # Это где будут лежать сертификаты  
crl_dir         = $dir/ssl.crl          # Это где будут  листы "отзывов подписей"  
database        = $dir/index.txt        # Здесь index file для индексирования запросов на подпись  
new_certs_dir   = $dir/ssl.crt          # Сюда будут писать новые сертификаты  
 
certificate     = $dir/server/server.crt    # Корневой сертификат  
serial          = $dir/serial               # Серийный номер запроса  
crl             = $dir/ssl.crl/sp.pem          # Текущий лист отзывов подписей  
private_key     = $dir/server/server.key    # Секретный ключ для основного сертификата  
RANDFILE        = $dir/.rand            
 
#x509_extensions    = x509v3_extensions    # The extentions to add to the cert
default_days    = 365            # how long to certify for
default_crl_days= 30            # how long before next CRL
default_md    = md5            # which md to use.
preserve    = no            # keep passed DN ordering
 
# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that
policy        = policy_match
 
# For the CA policy
[ policy_match ]
countryName        = optional
stateOrProvinceName    = optional
organizationName    = optional
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = optional
 
# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName        = optional
stateOrProvinceName    = optional
localityName        = optional
organizationName    = optional
organizationalUnitName    = optional
commonName        = supplied
emailAddress        = optional
 
####################################################################
[ req ]
default_bits        = 1024
default_keyfile     = privkey.pem
distinguished_name    = req_distinguished_name
attributes        = req_attributes
 
[ req_distinguished_name ]
countryName            = Country Name (2 letter code)
countryName_min            = 2
countryName_max            = 2
 
stateOrProvinceName        = State or Province Name (full name)
 
localityName            = Locality Name (eg, city)
 
0.organizationName        = Organization Name (eg, company)
 
organizationalUnitName        = Organizational Unit Name (eg, section)
 
commonName            = Common Name (eg, your website's domain name)
commonName_max            = 64
 
emailAddress            = Email Address
emailAddress_max        = 40
 
[ req_attributes ]
challengePassword        = A challenge password
challengePassword_min        = 4
challengePassword_max        = 20
 
[ x509v3_extensions ]
 
# under ASN.1, the 0 bit would be encoded as 80
nsCertType            = 0x40
 
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
#nsCertSequence
#nsCertExt
#nsDataType
 

 
Далее я создал опять же по описанной методике цмдэшник

Код:
 
MD "ssl.crt"
MD "ssl.crl"
MD "ssl.key"
MD "ssl.csr"
MD "server"
 
echo ########### server side ##############
echo создаем self-signed Certificate (X509 structure) with the RSA key
openssl req -config openssl.cnf -new -x509 -keyout server/server_crypted.key -out server/server.crt -days 3650
 
echo создаем decrypted PEM version ключа (not recommended)
echo для того чтобы апач при каждом старте не запрашивал пароль
openssl rsa -in server/server_crypted.key -out server/server.key
 
echo ########### WEB_DOMAIN side ##############
echo надо создать файл "index.txt" без содержимого
echo надо создать "serial" с одной строкой "01"
echo надо создать файл "index.txt.attr" без содержимого
pause
           
echo ВНИМАНИЕ в поле CommonName если сервер будет доступен по "https://www.foo.dom/", ввести: "www.foo.dom"              
openssl req -config openssl.cnf -new -keyout ssl.key/sp_key_crypted.pem -out ssl.csr/sp.csr
 
echo по идее не следует ключ декриптовать... но пусть будет
openssl rsa -in ssl.key/sp_key_crypted.pem -out ssl.key/sp.key
 
openssl ca -config openssl.cnf -policy policy_anything -out ssl.crt/sp.pem -infiles ssl.csr/sp.csr
 
openssl x509 -in ssl.crt/sp.pem -out ssl.crt/sp.crt
 
openssl ca -config openssl.cnf -gencrl -out ssl.crl/sp.crl
 
echo ssl.crt/sp.crt -- SSLCertificateFile
echo ssl.key/sp.key -- SSLCertificateKeyFile
pause
 

 
Всё заработало... кажись
 
сорри..

Всего записей: 67 | Зарегистр. 10-08-2004 | Отправлено: 20:34 23-06-2006 | Исправлено: LiMan, 20:50 23-06-2006
WRFan



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Хочу поделится собственным опытом создания сертификата под WIN32  

 
и я тоже :smile: я вам сейчас объясню, как создавать сертификаты ssl для apache 2, IIS 5 и proxomitron-а (если вы его используете как прокси и для ssl страниц в браузере.
 
кстати, можете себе заказать и бесплатный сертификат на 14 дней у верисайна. я заказал на http://www.verisign.de/ (как создавать ключ для верисайна - смотри внизу) и он сразу на мыло пришёл. но конечно интереснее самому создать - на 365 дней, а не на 14.
 
значит, во первых, с целью похвастаться :wink: - вот картинка сертификатного окна, которое появляется в ИЕ при заходе на мои локальные серваки apache 2.2 и IIS 5:
 
   
 
во вторых, адреса бинерников:
 
apache 2.2 с ssl:
 
http://www.apachelounge.com/download/
 
на оффсайте только без ssl. а почему, не понял.
 
новейшая версия ssl  бинерников:
 
http://www.slproweb.com/products/Win32OpenSSL.html
 
а вот мой конфигурационный файл, подходящий для apache2 И IIS 5. сорри, он длинный. копировать в тхт файл openssl.cnf и в openssl\bin папочку. не забудьте адреса папок изменить!:
 

Код:
 
#  
# OpenSSL example configuration file.  
# This is mostly being used for generation of certificate requests.  
#  
 
# This definition stops the following lines choking if HOME isn't  
# defined.  
HOME         = .  
RANDFILE      = $ENV::HOME/.rnd  
 
# Extra OBJECT IDENTIFIER info:  
#oid_file      = $ENV::HOME/.oid  
oid_section      = new_oids  
 
# To use this configuration file with the "-extfile" option of the  
# "openssl x509" utility, name here the section containing the  
# X.509v3 extensions to use:  
# extensions      =  
# (Alternatively, use a configuration file that has only  
# X.509v3 extensions in its main [= default] section.)  
 
[ new_oids ]  
 
# We can add new OIDs in here for use by 'ca' and 'req'.  
# Add a simple OID like this:  
# testoid1=1.2.3.4  
# Or use config file substitution like this:  
# testoid2=${testoid1}.5.6  
 
####################################################################  
[ ca ]  
default_ca   = CA_default      # The default ca section  
 
####################################################################  
[ CA_default ]  
 
#dir      = ./demoCA      # Where everything is kept  
dir      = "F:/Programme/Server/OpenSSL/bin"  
certs      = $dir/certs      # Where the issued certs are kept  
crl_dir      = $dir/crl      # Where the issued crl are kept  
database   = $dir/database.txt   # database index file.  
#unique_subject   = no         # Set to 'no' to allow creation of  
               # several ctificates with same subject.  
#new_certs_dir   = $dir/      # default place for new certs.  
new_certs_dir   = $dir  
 
certificate   = $dir/cacert.pem    # The CA certificate  
serial      = $dir/serial.txt       # The current serial number  
crlnumber   = $dir/crlnumber   # the current crl number  
               # must be commented out to leave a V1 CRL  
crl      = $dir/crl.pem       # The current CRL  
private_key   = $dir/private/cakey.pem# The private key  
RANDFILE   = $dir/private/.rand   # private random number file  
 
x509_extensions   = usr_cert      # The extentions to add to the cert  
 
# Comment out the following two lines for the "traditional"  
# (and highly broken) format.  
name_opt    = ca_default      # Subject Name options  
cert_opt    = ca_default      # Certificate field options  
 
# Extension copying option: use with caution.  
# copy_extensions = copy  
 
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs  
# so this is commented out by default to leave a V1 CRL.  
# crlnumber must also be commented out to leave a V1 CRL.  
# crl_extensions   = crl_ext  
 
default_days   = 365         # how long to certify for  
default_crl_days= 30         # how long before next CRL  
default_md   = sha1         # which md to use.  
preserve   = no         # keep passed DN ordering  
 
# A few difference way of specifying how similar the request should look  
# For type CA, the listed attributes must be the same, and the optional  
# and supplied fields are just that :-)  
policy      = policy_match  
 
# For the CA policy  
[ policy_match ]  
countryName      = match  
stateOrProvinceName   = match  
organizationName   = match  
organizationalUnitName   = optional  
commonName      = supplied  
emailAddress      = optional  
 
# For the 'anything' policy  
# At this point in time, you must list all acceptable 'object'  
# types.  
[ policy_anything ]  
countryName      = optional  
stateOrProvinceName   = optional  
localityName      = optional  
organizationName   = optional  
organizationalUnitName   = optional  
commonName      = supplied  
emailAddress      = optional  
 
####################################################################  
[ req ]  
default_bits      = 1024  
default_keyfile    = privkey.pem  
distinguished_name   = req_distinguished_name  
attributes      = req_attributes  
x509_extensions   = v3_ca   # The extentions to add to the self signed cert  
 
# Passwords for private keys if not present they will be prompted for  
# input_password = secret  
# output_password = secret  
 
# This sets a mask for permitted string types. There are several options.  
# default: PrintableString, T61String, BMPString.  
# pkix    : PrintableString, BMPString.  
# utf8only: only UTF8Strings.  
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).  
# MASK:XXXX a literal mask value.  
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings  
# so use this option with caution!  
string_mask = nombstr  
 
# req_extensions = v3_req # The extensions to add to a certificate request  
 
[ req_distinguished_name ]  
countryName         = Country Name (2 letter code)  
countryName_default      = AU  
countryName_min         = 2  
countryName_max         = 2  
 
stateOrProvinceName      = State or Province Name (full name)  
stateOrProvinceName_default   = Some-State  
 
localityName         = Locality Name (eg, city)  
 
0.organizationName      = Organization Name (eg, company)  
0.organizationName_default   = Internet Widgits Pty Ltd  
 
# we can do this but it is not needed normally :-)  
#1.organizationName      = Second Organization Name (eg, company)  
#1.organizationName_default   = World Wide Web Pty Ltd  
 
organizationalUnitName      = Organizational Unit Name (eg, section)  
#organizationalUnitName_default   =  
 
commonName         = Common Name (eg, YOUR name)  
commonName_max         = 64  
 
emailAddress         = Email Address  
emailAddress_max      = 64  
 
# SET-ex3         = SET extension number 3  
 
[ req_attributes ]  
challengePassword      = A challenge password  
challengePassword_min      = 4  
challengePassword_max      = 20  
 
unstructuredName      = An optional company name  
 
[ usr_cert ]  
 
# These extensions are added when 'ca' signs a request.  
 
# This goes against PKIX guidelines but some CAs do it and some software  
# requires this to avoid interpreting an end user certificate as a CA.  
 
basicConstraints=CA:FALSE  
 
# Here are some examples of the usage of nsCertType. If it is omitted  
# the certificate can be used for anything *except* object signing.  
 
# This is OK for an SSL server.  
# nsCertType         = server  
 
# For an object signing certificate this would be used.  
# nsCertType = objsign  
 
# For normal client use this is typical  
# nsCertType = client, email  
 
# and for everything including object signing:  
# nsCertType = client, email, objsign  
 
# This is typical in keyUsage for a client certificate.  
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
 
# This will be displayed in Netscape's comment listbox.  
nsComment         = "OpenSSL Generated Certificate"  
 
# PKIX recommendations harmless if included in all certificates.  
subjectKeyIdentifier=hash  
authorityKeyIdentifier=keyid,issuer  
 
# This stuff is for subjectAltName and issuerAltname.  
# Import the email address.  
# subjectAltName=email:copy  
# An alternative to produce certificates that aren't  
# deprecated according to PKIX.  
# subjectAltName=email:move  
 
# Copy subject details  
# issuerAltName=issuer:copy  
 
#nsCaRevocationUrl      = http://www.domain.dom/ca-crl.pem  
#nsBaseUrl  
#nsRevocationUrl  
#nsRenewalUrl  
#nsCaPolicyUrl  
#nsSslServerName  
 
[ v3_req ]  
 
# Extensions to add to a certificate request  
 
basicConstraints = CA:FALSE  
keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
 
[ v3_ca ]  
 
 
# Extensions for a typical CA  
 
 
# PKIX recommendation.  
 
subjectKeyIdentifier=hash  
 
authorityKeyIdentifier=keyid:always,issuer:always  
 
# This is what PKIX recommends but some broken software chokes on critical  
# extensions.  
#basicConstraints = critical,CA:true  
# So we do this instead.  
basicConstraints = CA:true  
 
# Key usage: this is typical for a CA certificate. However since it will  
# prevent it being used as an test self-signed certificate it is best  
# left out by default.  
# keyUsage = cRLSign, keyCertSign  
 
# Some might want this also  
# nsCertType = sslCA, emailCA  
 
# Include email address in subject alt name: another PKIX recommendation  
# subjectAltName=email:copy  
# Copy issuer details  
# issuerAltName=issuer:copy  
 
# DER hex encoding of an extension: beware experts only!  
# obj=DER:02:03  
# Where 'obj' is a standard or added object  
# You can even override a supported extension:  
# basicConstraints= critical, DER:30:03:01:01:FF  
 
[ crl_ext ]  
 
# CRL extensions.  
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.  
 
# issuerAltName=issuer:copy  
authorityKeyIdentifier=keyid:always,issuer:always  
 
[ proxy_cert_ext ]  
# These extensions should be added when creating a proxy certificate  
 
# This goes against PKIX guidelines but some CAs do it and some software  
# requires this to avoid interpreting an end user certificate as a CA.  
 
basicConstraints=CA:FALSE  
 
# Here are some examples of the usage of nsCertType. If it is omitted  
# the certificate can be used for anything *except* object signing.  
 
# This is OK for an SSL server.  
# nsCertType         = server  
 
# For an object signing certificate this would be used.  
# nsCertType = objsign  
 
# For normal client use this is typical  
# nsCertType = client, email  
 
# and for everything including object signing:  
# nsCertType = client, email, objsign  
 
# This is typical in keyUsage for a client certificate.  
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment  
 
# This will be displayed in Netscape's comment listbox.  
nsComment         = "OpenSSL Generated Certificate"  
 
# PKIX recommendations harmless if included in all certificates.  
subjectKeyIdentifier=hash  
authorityKeyIdentifier=keyid,issuer:always  
 
# This stuff is for subjectAltName and issuerAltname.  
# Import the email address.  
# subjectAltName=email:copy  
# An alternative to produce certificates that aren't  
# deprecated according to PKIX.  
# subjectAltName=email:move  
 
# Copy subject details  
# issuerAltName=issuer:copy  
 
#nsCaRevocationUrl      = http://www.domain.dom/ca-crl.pem  
#nsBaseUrl  
#nsRevocationUrl  
#nsRenewalUrl  
#nsCaPolicyUrl  
#nsSslServerName  
 
# This really needs to be in place for it to be a proxy certificate.  
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
 

 
далее: создаём сертификатики для apache:
 

Код:
 
openssl req -config openssl.cnf -new > my-server.csr  
openssl rsa -in privkey.pem -out my-server.key  
openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key -days 365  
 

 
копируем файлы my-server.key & my-server.cert в папку conf\ssl. апдейтим httpd.conf - обратите внимание, он отличается от apache 1 конфа, некоторые детали устарели и больше не используются, так что пришлось мне апдейтить эту секцию по новому после перехода с первого апаче!:
 

Код:
 
<IfDefine SSL>  
 
LoadModule ssl_module modules/mod_ssl.so  
 
#Listen 80  
Listen 443  
 
SSLMutex default  
SSLRandomSeed startup builtin  
SSLRandomSeed connect builtin  
SSLSessionCache none  
 
ErrorLog logs/SSL.log  
LogLevel info  
 
<VirtualHost 127.0.0.1:443>  
#<VirtualHost _default_:443>  
 
 
ServerName 127.0.0.1  
 
RewriteEngine On  
#RewriteRule ^/(.*) /zope/$1 [l]  
 
 
 
 
   
DocumentRoot "F:/Programme/Server/Apache/Public/SSL"  
 
<Directory "F:/Programme/Server/Apache/Public/SSL">  
 
Options Indexes FollowSymLinks MultiViews Includes MultiViews Indexes  
AllowOverride All  
Order deny,allow  
Deny from all  
Allow from localhost  
 
</Directory>  
 
 
SSLEngine On  
SSLCertificateFile conf/ssl/my-server.cert  
SSLCertificateKeyFile conf/ssl/my-server.key  
</VirtualHost>  
 
</IfDefine>  
 

 
адреса папок соответсвенно вашей системе измените!
 
 
----------------------
 
теперь создаём сертификаты для ИИС 5:
 
1) создаём два пустых тхт файла в папке openssl\bin под названиями serial.txt & database.txt. открываем serial.txt, пишем "01" без кавычек и нажимаем return, чтобы две строчки было. сохраняем, закрваем.
 
2) используем опять же openssl через cmd:
 

Код:
 
openssl genrsa -des3 -out IIS.key 1024  
openssl req -config openssl.cnf -new -x509 -days 365 -key IIS.key -out IIS.cer  
openssl ca -config openssl.cnf -cert IIS.cer -in certreq.txt -keyfile IIS.key -days 365 -out IIS5.cer  
openssl x509 -in IIS5.cer -out IIS5_509.cer  
 

 
перед тем как задавать 3-ию строчку, нужно создать certreq.txt файл! для этого стартуем IIS snapIn manager:
 
%SystemRoot%\System32\inetsrv\iis.msc  
 
открываем properties нашей странички, открываем регистр security и там нажимаем на server certificate. а там уже дядя Билл вас возьмёт за ручку  :D
 
после создания сертификата ещё раз открываем IIS certificate wizard и используем созданный openssl сертификат для удовлетворения дяди Билла - файл IIS5_509.cer
 
Вот и всё. теперь тестируем оба сервака. для этого отключаем один из них!:
 

Код:
 
net stop WWW-Publishing  
net stop iisadmin  
httpd.exe -D SSL -k start  
 

 

Код:
 
net stop apache2.2  
net start WWW-Publishing  
net start iisadmin
 

 
названия зависят от ваших сёрвисов, меняется здесь:
 

Код:
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  
 

 
или задаём разные порты для них:
 
apache: 443 -> httpS://127.0.0.1
IIS: 442 -> httpS://127.0.0.1:442
 
если появится окошко в браузере, как на моей картинке наверху, тада усё в порядочке
 
----------------------------
 
теперь создаём ссл файлик для проксомитрона. для этого используем ключики, созданные при создании сертификатов для апаче. создаём пустой файл в папке проксомитрона под названием proxcert.pem и копируем туда данные из файлов my-server.cert & my-server.key - сначала RSA-Key, потом сам сертификат - одно под другим

Всего записей: 5275 | Зарегистр. 25-11-2002 | Отправлено: 08:06 08-07-2006 | Исправлено: WRFan, 08:32 08-07-2006
pretoreani

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А никто не подскажет как юзать аналогичную функцию - авторизацию клиентов с помощью сертификатов?
я знаю тока конфиг  
#SSLVerifyClient require
#SSLVerifyDepth  10
 
но это же не всё?
как сгенерить и главное как заставить все ето работать и получать с помощью этих сертификатов скажем имя авторизованного юзера

Всего записей: 5 | Зарегистр. 03-10-2006 | Отправлено: 16:59 28-11-2006
TomasVercetti

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Относительно ошибки, которую упоминал pretoreani в топике    http://forum.ru-board.com/topic.cgi?forum=8&topic=18852#1 . Я пытался создавать сертификаты и настроить Apache 2.2.3 предложенным здесь способом. Однако сервер вывыливается в Windows с такими же симптомами в ssl.log и error.log. Только адрес ошибки модуля другой. Подскажите, пожалуйста, в чём может быть проблема.
Спасибо.

Всего записей: 319 | Зарегистр. 09-01-2006 | Отправлено: 07:00 28-12-2006
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TomasVercetti

Цитата:
Подскажите, пожалуйста, в чём может быть проблема.

это софтовая проблема.. какое то несогласование в модулях.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 07:05 28-12-2006
CoolNickName



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые. Прошу помощи.
Сделал все, как было описано выше. Сертификат сгенерирован, но любая попытка упомянуть о SSL-е не дает запустить Апач.
 
Апач стоит 2.2
Операционная система - Win XP
Настраивать пытаюсь файл httpd-ssl.conf
 
В httpd.conf раскомментирую строчку Include conf/extra/httpd-ssl.conf - и после этого Апач перестает стартовать.
 
Пробовал в httpd.conf прописать описанное ниже, но результат тот же. Апач ни в какую не хочет запускаться
 
Подскажите, как заставить localhost работать по https://localhost
 
Заранее благодарю
 

Цитата:
<IfDefine SSL>  
 
LoadModule ssl_module modules/mod_ssl.so  
 
#Listen 80  
Listen 443  
 
SSLMutex default  
SSLRandomSeed startup builtin  
SSLRandomSeed connect builtin  
SSLSessionCache none  
 
ErrorLog logs/SSL.log  
LogLevel info  
 
<VirtualHost 127.0.0.1:443>  
#<VirtualHost _default_:443>  
 
 
ServerName 127.0.0.1  
 
RewriteEngine On  
#RewriteRule ^/(.*) /zope/$1 [l]  

 
Вот кусочек от httpf.conf

Код:
 
<Directory "c:/Apache2/htdocs">
    Options Indexes FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>
 

 
А так выглядит httpd-ssl.conf

Код:
 
 
Listen 443
 
 
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
 
 
SSLPassPhraseDialog  builtin
 
SSLSessionCache        shmcb:c:/Apache2/logs/ssl_scache(512000)
SSLSessionCacheTimeout  300
 
SSLMutex default
 
##
## SSL Virtual Host Context
##
 
<VirtualHost test:443>
 
 
DocumentRoot "c:/Apache2/htdocs"
ServerName localhost
ServerAdmin asd@asd.com
ErrorLog c:/Apache2/logs/error_log
TransferLog c:/Apache2/logs/access_log
 
SSLEngine on
 
 
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
 
 
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "c:/Apache2/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>
 
 
BrowserMatch ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0
 
CustomLog c:/Apache2/logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
 
</VirtualHost>                                  
 
 

 
Подскажите, где я лажаю?

Всего записей: 74 | Зарегистр. 28-10-2004 | Отправлено: 16:06 11-04-2007
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CoolNickName

Цитата:
Пробовал в httpd.conf прописать описанное ниже, но результат тот же. Апач ни в какую не хочет запускаться  

запускаем апач из командной строки и читаем сообщение об ошибке.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 16:27 11-04-2007
CoolNickName



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
c:\systemsites>net start Apache2.2
Служба "Apache2.2" запускается.
Не удалось запустить службу "Apache2.2".
 
Специфическая ошибка службы: 1.
 
Для вызова дополнительной справки наберите NET HELPMSG 3547.

Всего записей: 74 | Зарегистр. 28-10-2004 | Отправлено: 16:39 11-04-2007
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CoolNickName
я же сказал - апач, а не сервис.
идешь в диру с апачем и запускаешь его.

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 16:40 11-04-2007
CoolNickName



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо. Помогло.  
Сам ступил, сам исправился... Простите за беспокойство

Всего записей: 74 | Зарегистр. 28-10-2004 | Отправлено: 16:49 11-04-2007
antiwr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
помогите  скиньте пример как откoмпилировать OpenSSL под Windows  и спощью чего надо кмпилировать  
 
Очень нужно  
 
 
 
Добавлено:
уже нашел спс

Всего записей: 2 | Зарегистр. 25-04-2007 | Отправлено: 12:55 25-04-2007
klimusu



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сайт на http://site.ru
установлен ssl вроде настроен.. для директории https://site.ru/forum работает, а если просто http://site.ru/forum , то не найдена страница говорит.. как и где сделать автоматический переход на https при входе на форум?
 

Всего записей: 927 | Зарегистр. 23-01-2006 | Отправлено: 15:04 12-03-2008
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
klimusu

Цитата:
то не найдена страница говорит..

значит корни http и https сайтов настроены на разные директории
 

Цитата:
как и где сделать автоматический переход на https при входе на форум?  

либо через mod_rewrite, либо в скрипте форума.. проверять в каком режиме и если не https, то перекидывать на него

----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 17:10 12-03-2008
klimusu



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cheery
можно где-нить пример глянуть?

Всего записей: 927 | Зарегистр. 23-01-2006 | Отправлено: 16:13 13-03-2008
Cheery



.:МордератоР:.
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
klimusu

Цитата:
можно где-нить пример глянуть?

ну ведь надо чуть чуть подумать или воспользоваться поисковиком

Цитата:
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]


----------
Away/DND

Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 18:24 13-03-2008
Levit1980



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
как сделать что бы при вводе в строке tyy.ru сайт открывался сразу по протоколу https, а то он у меня открывает http по умолчанию.

Всего записей: 220 | Зарегистр. 07-11-2008 | Отправлено: 19:15 13-04-2010 | Исправлено: Levit1980, 23:24 13-04-2010
slech



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
что бы настройть сайт на http и https нужно продублировать содержимое virtualhost и указать его с 443 ?

Всего записей: 4884 | Зарегистр. 10-11-2004 | Отправлено: 19:46 13-09-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Levit1980 Никак, http подразумевается по умолчанию. Непонятна суть вопроса. Если речь идет о серверной части, то там просто ставят редирект с http на https или используют mod_rewrite, .htaccess.  
Если о клиенте, то сделать нужную закладку и не париться.

Всего записей: 16937 | Зарегистр. 13-06-2007 | Отправлено: 01:36 14-09-2010 | Исправлено: vlary, 01:44 14-09-2010
tolyn77



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет!
с Новым годом всех участников!
 
не подскажите что не правильно делаю в логах пишет
error.log
"[Sat Jan 02 20:59:36.140782 2016] [ssl:warn] [pid 4248:tid 364] AH01909: www.site.ru:443:0 server certificate does NOT include an ID which matches the server name"
access.log
пусто
 
сертификаты сделаны, пути прописаны.
подскажите куда копать?
заранее благодарен

Всего записей: 1494 | Зарегистр. 07-09-2004 | Отправлено: 10:41 03-01-2016 | Исправлено: tolyn77, 10:44 03-01-2016
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Apache 2.x Win32 и SSL (https)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru