17.8.2003

VÝHRA NAD MOD_SSL

Filed under: Uncategorized — nax @ 02:54

Nakonec se mi to povedlo: mĹŻj web server konečně umĂ­ ssl. Chtěl jsem to rozchodit hlavně kuli těm fakturacĂ­m. Teď uĹž jen musĂ­m zjistit jak zakĂĄzat do určitĂŠho adresáře nekryptovanĂ˝ vstup a bude. No ale Ĺže mi to dalo zabrat. Nejdřív jsem nainstaloval debianĂ­ balíček s mod_ssl. Nepomohlo. Pak jsem naĹĄel nějakĂŠ nastavenĂ­ do http.conf, ale tak jednoduchĂŠ to opravdu nenĂ­. Potom co neproĹĄla kuli zĂĄvislostem instalace apache-ssl jsem zkusil ĹĄtěstĂ­ se zdrojĂĄkama. StĂĄhnul jsem zdrojĂĄky openssl, mod_ssl a novĂŠho apache. To bylo dnes (tedy vlastně včera) rĂĄno. Nejdřív jsem si myslel, Ĺže největĹĄĂ­ problĂŠm bude vnutit mu debianĂ­ cesty na kterĂ˝ uĹž jsem zviklej a hlavně v nich uĹž mĂĄm vĹĄechno potřebnĂŠ, ale kdyĹž jsem to tak udělal, tak jsem zjistil, Ĺže ten parchant httpd (BTW takĂŠ jsem stahoval diff zdrojĂĄku apache pro debiana a aby dosĂĄhli toho, aby se ta binĂĄrka jmenovala apache a ne httpd, tak normĂĄlně natvrdo proĹženou Makefile sedem 😉 ten parchant httpd hĂĄĹže chybu Ĺže neznĂĄ LoadModule!

Nejdřív jsem myslel, Ĺže je to problĂŠm nezkompilovanĂŠho modulu, aĹž mi nakonec LOC po ICQ poradil, Ĺže je tam speciĂĄlnĂ­ modul, kterej se starĂĄ o natahovĂĄnĂ­ ostatnĂ­ch modulĹŻ. Pak uĹž nebylo tak těžkĂ˝ najĂ­t, Ĺže se ten modul jmenuje “so”, akorĂĄt mi trochu uniklo, proč nenĂ­ defaultně zapnutĂ˝.

Tím však problémy neskončili. Pak se třeba httpd choval tak, že se sice spustil, ale při pokusu o komunikaci to vlákno prostě havarovalo a prohlížeč nic nenapsal ani neudělal. Nakonec jsem ještě zkoušel také na radu LOC utilitku apachetoolbox, ale stejně jsem se nikam nedostal. Je to utilitka, která konfiguruje apache, postahuje požadované moduly a pak to celé zkompiluje. Trošku v duchu menuconfigu.

Každopádně ten zkompilovaný apache se choval pořád stejně špatně, tak jsem se na to vykašlal a šel jsem raději hledat nějaký bloger, kam bych mohl psát deníček (no a výsledkem je tenhle web). Někdy tak po jedenácté, když už jsem si dost vyhrál s barvičkami, mi to ale nedalo a pustil jsem se znovu do toho sslka. Někde v nějaké konferenci na Googlu jsem našel radu, že by se měl zapínat v http.conf directíva SSLEngine on, ale potom to pořád nechodilo.

Tentokrát jsem začal tam, kde jsem měl začít hned od začátku, totiž v /var/log/apache/error.log No nebudu to dál protahovat, nakonec jsem zjistil, že mám blbě vygenerované šifrovací klíče. Předtím jsem to dělal, pomocí /usr/lib/apache/mod-ssl-makecert.sh, ale nakonec jsem v konferencích o5 na Googlu našel odkaz a nakonec jsem si klíče vygeneroval hezky sám podle toho step-by-step howtočka. Na závěr ještě přikládám krátký výpis ze svého http.conf týkajícího se toho, co jsem dnes zkonfiguroval.

Port 80
Listen 80
Listen 443

# SSL

SSLEngine on
SSLCACertificateFile /etc/apache/ssl/ca.crt
SSLCertificateFile /etc/apache/ssl/server.crt
SSLCertificateKeyFile /etc/apache/ssl/server.key
SSLLog /var/log/apache/apache_ssl_engine_log
SSLVerifyClient none

Comments are closed.

Powered by WordPress