根据有关SSLVerifyClient的Apache文档 ,可以在目录上下文中定义它的值。 但是,以下configuration不起作用: <IfModule mod_ssl.c> <VirtualHost _default_:443> … DocumentRoot /var/www/projects SSLEngine on SSLCipherSuite HIGH:MEDIUM:-SSLv2 SSLCertificateFile /etc/ssl/certs/dev.example.com_self.crt SSLCertificateKeyFile /etc/ssl/private/dev.example.com_self.key SSLVerifyClient none SSLVerifyDepth 2 <Directory "/var/www/projects/projectA/"> SSLCACertificateFile "/etc/ssl/certs/ACRAIZ-SHA2.crt" SSLVerifyClient require </Directory> … </VirtualHost> </IfModule> 如果我请求https://example.com/projectX ,则设置值none 。 但是,如果我尝试https://example.com/projectApache不考虑require价值,但一直none 。 我的configuration有问题吗?还是与Apacheparsing规则有关? 谢谢
我使用Apache前面的负载均衡器完全通过SSL运行站点,执行所有证书处理和解密。 我让HTTPstream量通过负载平衡器,以便Apache可以处理redirect。 当stream量redirect到HTTPS页面时,负载均衡器会解密并将请求转发到我想要的任何端口。 http – > load balancer:80 – > apache:80 – > 301 url:443 https – >负载平衡器:443 – encryptionstream量 – > apache:任何端口我想 我可以使用80以外的任何端口为我的所有虚拟主机,以避免redirect循环(端口444在下面的configuration工作正常),但为了在非生产环境的Apacheconfiguration之间的一致性我想知道如果我可以使用端口443尽pipeSSL实际上并未在Apache中启用,但对于VirtualHosts来说, 我以为我可以把SSLEngine off在<VirtualHost *:443>强制这个端口没有SSL,因为默认的SSL端口似乎尝试启用SSL,但Apache不启动这个configuration在Debian 6上。 (我已经注释掉/etc/apache2/ports.conf中的所有内容) [error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile] 那么…我怎样才能使用禁用SSL的端口443? NameVirtualHost *:80 Listen 80 <VirtualHost *:80> # Force SSL RewriteEngine On RewriteCond %{HTTPS} […]
是否可以configurationApache2使用椭圆曲线密码(ecc)与SSL? 这个错误https://issues.apache.org/bugzilla/show_bug.cgi?id=40132出现(对我来说)表明这是受支持的,但我找不到任何地方的任何指示。
我试图找出我的Apache mod_sslconfiguration将接受客户端连接的minimum key/cipher bit length 。 我运行openssl ciphers -v并查看所有长度的密码(40,56等)。 如何find或configurationApache将接受的最小长度密钥? 换句话说,如果一个客户端请求一个长度为40位的密码连接,我怎样才能指定连接应该被拒绝,因为它是< 64 ?
我在Apache 2.2和我能find的SSLRequire 文件function的小文档上遇到了麻烦。 我正在尝试使用SSLRequire检查请求中的客户端证书的电子邮件属性。 httpd.conf文件中的以下选项效果很好: SSLRequire %{SSL_CLIENT_S_DN_Email} in { "[email protected]" } 但正如我可以在文档中阅读,您可以使用filter的值列表。 从官方文档引用: file (文件名) – 这个函数接受一个string参数并扩展到文件的内容。 这对匹配正则expression式等内容特别有用。 所以,按照文档,我把以下内容放在httpd.conf文件中: SSLRequire %{SSL_CLIENT_S_DN_Email} in { file("/etc/httpd/mail-list") } 文件邮件列表只包含一行内容[email protected] (试图模拟没有file的选项)。 但是当我尝试访问我的HTTPS服务器时,我在日志中看到以下内容: Failed expression: %{SSL_CLIENT_S_DN_Email} in { file("/etc/httpd/mail-list") } 此消息通常在模式无法应用时出现。 有人可以帮我在这里,我怎样才能使用这个function?
我已经得到了Apache 2.4.6和OpenSSL的RHEL7服务器,我想安装mod_ssl。 问题是百胜没有find包: yum install mod_ssl No package mod_ssl available. Error: Nothing to do 在search过程中也找不到,只findmod_gnutls: yum search mod_ssl =================================================== Matched: mod_ssl =================================================== mod_gnutls.x86_64 : GnuTLS module for the Apache HTTP server 我怎样才能安装mod_ssl? 我需要find一个rpm或安装回购有百胜find它? 下面是列出httpd和openssl的输出以显示版本: yum list httpd openssl Installed Packages httpd.x86_64 2.4.6-67 @rhel-7-server-rpms openssl.x86_64 1:1.0.2k-8.el7 @rhel-7-server-rpms 这是我的repolist: yum repolist repo id repo name status epel/x86_64 […]
我在一台机器(“机器”)上构build和打包以下内容,并尝试在其他机器(“目标”机器)上安装和使用,其中一些机器具有不同的处理器。 OpenSSL 0.9.8l Apache 2.2.14 Tomcat连接器1.2.28 据我所知,问题是构build机具有比目标机器更多的CPUfunction,导致目标机器上不可执行的二进制文件。 我试图使用configuration和编译器标志禁用使用有问题的指令,没有运气。 最终我得到这个错误: $ ./apachectl start httpd:/usr/local/apache-2.2.14/conf/httpd.conf第58行的语法错误: 无法将/usr/local/apache2/modules/mod_ssl.so加载到服务器:ld.so.1:httpd: 致命的:/usr/local/openssl/lib/libssl.so.0.9.8:不支持的硬件function: 0x1000 [SSE2] 这是我完整的构build过程。 每个命令的完整输出可以在这里查看。 由于我没有足够的SF代表,我无法直接链接到他们。 build立机器 $ echo $PATH /usr/bin:/usr/ccs/bin:/usr/sfw/bin:/opt/sfw/bin:/usr/sbin $ isainfo -v 32-bit i386 applications pause sse2 sse fxsr mmx cmov sep cx8 tsc fpu $ uname -a SunOS bsiausstgdb02 5.10 Generic_120012-14 i86pc i386 i86pc 目标机器 $ isainfo -v […]
更新的问题 老问题 mod_ssl不适用于1.3.41以上版本的Apache吗? 我有版本2.2.17(当前最新) http://www.modssl.org/ 原来的问题 ./configure –with-apxs=/usr/local/apache/bin/apxs Configuring mod_ssl/2.8.30 for Apache/1.3.39 ./configure:Error: Installed Apache doesn't contain Extended API (EAPI) 这很奇怪,因为我的Apache版本是2.2.17 /etc/init.d/httpd -v Server version: Apache/2.2.17 (Unix)
我正在Apache Portable Runtime上运行Tomcat7上的应用程序,我购买了SSL证书并正确configuration了它 – 当我尝试通过ip:port组合连接时,它连接正常,但是警告我证书颁发给了域名,不是IP。 我正在使用的VPS没有安装SELinux(有安装问题),这是AFAIK要求在Apache中configurationSSL,所以我只想将请求路由到Tomcat,它在它的末尾。 我configuration了Apache来代理连接,首先使用端口80,完美的工作: NameVirtualHost www.mysite.com:80 <VirtualHost www.mysite.com:80> ProxyPreserveHost On ProxyRequests Off ServerName http://www.mysite.com ServerAlias http://www.mysite.com ProxyPass / http://localhost:8180/MYSITE/ ProxyPassReverse / http://localhost:8180/MYSITE/ ProxyPassReverseCookiePath /MYSITE/ / </VirtualHost> 然后用不想工作的SSL端口出于某种原因: NameVirtualHost www.mysite.com:443 <VirtualHost www.mysite.com:443> SSLProxyEngine On ProxyPreserveHost On ProxyRequests Off ServerName https://www.mysite.com ServerAlias https://www.mysite.com ProxyPass / https://localhost:8443/MYSITE/ ProxyPassReverse / https://localhost:8443/MYSITE/ ProxyPassReverseCookiePath /MYSITE/ / CacheDisable * […]
是否有可能configurationApache(或任何其他SSL感知服务器)只接受来自预定义列表证书的客户端连接? 这些证书可以由任何CA签名(并且可以是自签名的)。 前一段时间,我尝试在我所工作的域名注册pipe理机构的EPP系统中获得客户端证书validation。 EPP协议规范要求使用“相互强大的客户端 – 服务器authentication”。 实际上,这意味着客户端和服务器都必须validation会话中其他对等方的证书。 我们创build了一个私人authentication机构,并要求注册服务机构提交我们之后签署的CSR。 在我们看来,这似乎是最简单的解决scheme,但我们许多注册商反对:他们习惯于从CA获取客户端证书,并将该证书提交给注册pipe理机构。 所以我们不得不放弃这个系统。 我一直在试图find一种在我们的服务器上实现这个系统的方法,这个方法基于Apache的mod_epp模块。