BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
 Заголовок сообщения: apache ssl настройка
СообщениеДобавлено: Пн 28 окт, 2019 5:46 pm 
Не в сети

Зарегистрирован: Чт 28 ноя, 2013 12:36 pm
Сообщения: 52
Собрал из портов apache+ssl(/usr/ports/security/py-certbot)

Пытаюсь зайти на сайт
https://mysite.ru

Получаю.
SSL получило запись, длина которой превышает максимально допустимую. (Код ошибки: ssl_error_rx_record_too_long)

Код:
/usr/local/etc/apache24/extra/httpd-ssl.conf

Listen 443
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES
SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4:!3DES
SSLHonorCipherOrder on
SSLProtocol all -SSLv3
SSLProxyProtocol all -SSLv3
SSLPassPhraseDialog  builtin
SSLSessionCache        "shmcb:/var/run/ssl_scache(512000)"
SSLSessionCacheTimeout  300

<VirtualHost *:443>
    ServerAdmin admin@mysite.ru
    DocumentRoot "/data/mysite.ru/www/"
    AddDefaultCharset UTF-8
    ServerName mysite.ru:443

    ErrorLog "/data/mysite.ru/error_log"
    TransferLog "/data/mysite.ru/access_log"

    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
    CustomLog "/data/mysite.ru/access_log" combined

    SSLEngine on
    SSLCertificateFile      /usr/local/etc/letsencrypt/live/mysite.ru/cert.pem
    SSLCertificateKeyFile   /usr/local/etc/letsencrypt/live/mysite.ru/privkey.pem
    SSLCertificateChainFile /usr/local/etc/letsencrypt/live/mysite.ru/chain.pem
    BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
</VirtualHost>



$ openssl s_client -connect mysite.ru:443
CONNECTED(00000003)
139996587755416:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:827:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 307 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1572264748
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

logging:
[Mon Oct 28 16:27:12.663767 2019] [core:debug] [pid 48530] protocol.c(1334): [client 192.168.0.3:45194] AH00566: request failed: malformed request line

192.168.0.3 - - [28/Oct/2019:16:27:12 +0300] "\x16\x03\x01" 400 226 "-" "-"


В чем может быть проблема ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: apache ssl настройка
СообщениеДобавлено: Вт 29 окт, 2019 10:19 am 
Не в сети

Зарегистрирован: Чт 28 ноя, 2013 12:36 pm
Сообщения: 52
Проблема решилась указанием ip адреса:
<VirtualHost 192.168.0.3:443>

Но наблюдается такой эффект. Если к этому серверу обратиться по другому имени, например https://webserver01, прописанному в /etc/hosts но не сконфигурированному в /usr/local/etc/apache24/extra/httpd-ssl.conf , apache шлет сертификат от mysite.ru браузер его метит красным, и сообщает что этот сертификат с другого домена.

Как то не секурно поступает веб сервер.
Вопрос почему ???

В файле виртуальных хостов ssl, хост webserver01 не прописан.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: apache ssl настройка
СообщениеДобавлено: Вт 29 окт, 2019 1:05 pm 
Не в сети

Зарегистрирован: Чт 28 ноя, 2013 12:36 pm
Сообщения: 52
В документации https://httpd.apache.org/docs/2.4/vhost ... based.html если я верно перевел, написано, что должно использоваться сопоставление ip и ДНС имени для обращение к серверу. Но можно и по ДНС имени.

Цитата:
Использование подстановочного знака ( * ) для IP-адреса во всех директивах VirtualHost делает это сопоставление на основе IP-адресов неуместным.


По сути у меня именно этот случай. Мне бы не хотелось бы делать два одинаковых блока <VirtualHost 192.168.0.3:443> <VirtualHost 87.35.125.х:443>.
Но почему тогда <VirtualHost *:443> перестает работать ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: apache ssl настройка
СообщениеДобавлено: Вт 29 окт, 2019 2:31 pm 
Не в сети

Зарегистрирован: Чт 28 ноя, 2013 12:36 pm
Сообщения: 52
Методом проб и ошибок выяснил, что как то работает, если в одной секции * а в другой некий ip. Если в обоих секциях ip - не работает. Если в обоих секциях * - не работает.

<VirtualHost *:443>
...
<VirtualHost 192.168.0.3:443>
...
В такой комбинации работает.

Вопрос почему, продолжает мучать ..


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: apache ssl настройка
СообщениеДобавлено: Вт 29 окт, 2019 5:19 pm 
Не в сети

Зарегистрирован: Чт 28 ноя, 2013 12:36 pm
Сообщения: 52
https://cwiki.apache.org/confluence/dis ... dSSLVHosts

Один сертификат SSL (с под доменами типа *.mysite.com) - один IP.

Я так понимаю что надо делать так <VirtualHost 192.168.0.3:80> обычные виртуальные хосты.
<VirtualHost 192.168.0.4:443> - SSL mysite1.com
<VirtualHost 192.168.0.5:443> - SSL mysite2.com
<VirtualHost 192.168.0.6:443> - SSL mysite3.com

/etc/rc.conf
ifconfig_re0="inet 192.168.0.3 netmask 255.255.255.0"
ifconfig_re0_alias1="inet 192.168.0.4 netmask 255.255.255.0"
ifconfig_re0_alias2="inet 192.168.0.5 netmask 255.255.255.0"
ifconfig_re0_alias3="inet 192.168.0.6 netmask 255.255.255.0"

Или есть еще какие подводные камни ?

А все равно не получается. Нужен для каждого домена свой внешний IP.

Или есть какие то варианты ??


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика