FreeBSD + Apache + OpenSSL, вопросы и непонятки :(

[Pukite]

Привет, коллеги !

Необходимо поднять web сервер на ssl, прочитала статью http://linux.opennet.ru/base/sec/ssl_freebsd.txt.html, с ssl вроде всё в порядке, но Apache при запуске говорит:

Syntax error on line 268 of /apache/conf/httpd.conf:
Invalid command 'SSLEngine', perhaps mis-spelled or defined by a module not included in the server configuration

Что именно ещё сделать?

FreeBSD 5.2.1, Apache 1.3.28

[BrickTop]

mod_ssl надо было скомпилировать с апаче.

[Pukite]

А нельзя ли поконкретнее, что именно мне сделать?

[BrickTop]

А, вы там еще с 1.3 сидите? Тогда вам сюда:
http://www.apache-ssl.org/

[A. Fig Lee]

А нельзя ли поконкретнее, что именно мне сделать?

А как апач ставился - из портов?
Если из сурсов - надо иметь сурсы обоих - модссл и апача,
запустить сначала для модссл
./configure --with-apache=патх_то_апаче_срц
потом маке, потом апач делать.
Если из портов думаю надо мейкать
апаче13-модссл - там должно быть все.
Ну придется деинсталл сделать апачу сначала.

[Pukite]

Apache ставился из исходников, по привычке: ./configure --prefix=/apache ; make ; make install

[A. Fig Lee]

Apache ставился из исходников, по привычке: ./configure --prefix=/apache ; make ; make install

ето ашипка!
Сначала mod-ssl!

cd mod-ssl-xxx
./configure --help
ну и потом смотрим.. Когда модссл билдается он патчает апаче сурс три. потом мона билдать апач.

P.S. Da, nu openssl понятно уже должен быть. если нет - мона из портов перед modssl

[Pukite]

ну и потом смотрим.. Когда модссл билдается он патчает апаче сурс три. потом мона билдать апач.

Апач уже стоит, в том и дело. А где модссл скачать?

[A. Fig Lee]

ну и потом смотрим.. Когда модссл билдается он патчает апаче сурс три. потом мона билдать апач.

Апач уже стоит, в том и дело. А где модссл скачать?

www.modssl.org
Source dlja openssl
www.openssl.org

[BrickTop]

ну и потом смотрим.. Когда модссл билдается он патчает апаче сурс три. потом мона билдать апач.

Апач уже стоит, в том и дело. А где модссл скачать?

К 1.3 нету такого модуля. Есть специальная версия, которая содержит в себе SSL. URL приведен выше.

[A. Fig Lee]

ну и потом смотрим.. Когда модссл билдается он патчает апаче сурс три. потом мона билдать апач.

Апач уже стоит, в том и дело. А где модссл скачать?

К 1.3 нету такого модуля. Есть специальная версия, которая содержит в себе SSL. URL приведен выше.

Как нет? А я поставил, не знал..
Вы наверное с Apache-SSL путаете.
Есть Apache-SSL, а есть mod-ssl.

[url=http://www.modssl.org/]01-Nov-2003: Released 2.8.16-1.3.29: For Apache 1.3.29!
18-Jul-2003: Released 2.8.15-1.3.28: For Apache 1.3.28!
[/url]

[Pukite]

httpd.conf

###
ServerType standalone
ServerRoot "/apache2"
PidFile /apache2/logs/httpd.pid
ScoreBoardFile /apache2/logs/httpd.scoreboard
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
MaxSpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 0
Port 80

<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>

User skukis
Group skukis

DocumentRoot "/www"

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

<Directory "/www">
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>


<IfModule mod_userdir.c>
UserDir public_html
</IfModule>


<IfModule mod_dir.c>
DirectoryIndex index.html
</IfModule>

AccessFileName .htaccess

<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>

UseCanonicalName On

<IfModule mod_mime.c>
TypesConfig /apache2/conf/mime.types
</IfModule>

DefaultType text/plain

<IfModule mod_mime_magic.c>
MIMEMagicFile /apache2/conf/magic
</IfModule>

HostnameLookups Off
ErrorLog /apache2/logs/error_log
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog /apache2/logs/access_log common

ServerSignature Off


<IfModule mod_alias.c>
Alias /icons/ "/apache2/icons/"

<Directory "/apache2/icons">
Options Indexes MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
Alias /manual/ "/apache2/htdocs/manual/"

<Directory "/apache2/htdocs/manual">
Options Indexes FollowSymlinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>

ScriptAlias /cgi-bin/ "/apache2/cgi-bin/"

<Directory "/apache2/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>

</IfModule>

<IfModule mod_autoindex.c>
IndexOptions FancyIndexing

AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip

AddIconByType (TXT,/icons/text.gif) text/*
AddIconByType (IMG,/icons/image2.gif) image/*
AddIconByType (SND,/icons/sound2.gif) audio/*
AddIconByType (VID,/icons/movie.gif) video/*

AddIcon /icons/binary.gif .bin .exe
AddIcon /icons/binhex.gif .hqx
AddIcon /icons/tar.gif .tar
AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv
AddIcon /icons/compressed.gif .Z .z .tgz .gz .zip
AddIcon /icons/a.gif .ps .ai .eps
AddIcon /icons/layout.gif .html .shtml .htm .pdf
AddIcon /icons/text.gif .txt
AddIcon /icons/c.gif .c
AddIcon /icons/p.gif .pl .py
AddIcon /icons/f.gif .for
AddIcon /icons/dvi.gif .dvi
AddIcon /icons/uuencoded.gif .uu
AddIcon /icons/script.gif .conf .sh .shar .csh .ksh .tcl
AddIcon /icons/tex.gif .tex
AddIcon /icons/bomb.gif core

AddIcon /icons/back.gif ..
AddIcon /icons/hand.right.gif README
AddIcon /icons/folder.gif ^^DIRECTORY^^
AddIcon /icons/blank.gif ^^BLANKICON^^

DefaultIcon /icons/unknown.gif

ReadmeName README
HeaderName HEADER

IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t

</IfModule>

<IfModule mod_mime.c>

AddLanguage da .dk
AddLanguage nl .nl
AddLanguage en .en
AddLanguage et .ee
AddLanguage fr .fr
AddLanguage de .de
AddLanguage el .el
AddLanguage he .he
AddCharset ISO-8859-8 .iso8859-8
AddLanguage it .it
AddLanguage ja .ja
AddCharset ISO-2022-JP .jis
AddLanguage kr .kr
AddCharset ISO-2022-KR .iso-kr
AddLanguage nn .nn
AddLanguage no .no
AddLanguage pl .po
AddCharset ISO-8859-2 .iso-pl
AddLanguage pt .pt
AddLanguage pt-br .pt-br
AddLanguage ltz .lu
AddLanguage ca .ca
AddLanguage es .es
AddLanguage sv .sv
AddLanguage cs .cz .cs
AddLanguage ru .ru
AddLanguage zh-TW .zh-tw
AddCharset Big5 .Big5 .big5
AddCharset WINDOWS-1251 .cp-1251
AddCharset CP866 .cp866
AddCharset ISO-8859-5 .iso-ru
AddCharset KOI8-R .koi8-r
AddCharset UCS-2 .ucs2
AddCharset UCS-4 .ucs4
AddCharset UTF-8 .utf8

<IfModule mod_negotiation.c>
LanguagePriority en da nl et fr de el it ja kr no pl pt pt-br ru ltz ca es sv tw
</IfModule>

AddType application/x-tar .tgz
AddEncoding x-compress .Z
AddEncoding x-gzip .gz .tgz

</IfModule>


<IfModule mod_setenvif.c>
BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0
</IfModule>







<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>


<IfModule mod_ssl.c>
SSLPassPhraseDialog builtin

SSLSessionCache dbm:/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300

SSLMutex file:/apache2/logs/ssl_mutex

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin

SSLLog /apache2/logs/ssl_engine_log
SSLLogLevel info
</IfModule>


<IfDefine SSL>

##
## SSL Virtual Host Context
##

<VirtualHost moi.ip.adres:443>

DocumentRoot "/www"
ServerName moi.domen.lv
ServerAdmin moi@adres.lv

SSLEngine on

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

SSLCertificateFile /apache2/conf/ssl.crt/server.crt
#SSLCertificateFile /apache2/conf/ssl.crt/server-dsa.crt

SSLCertificateKeyFile /apache2/conf/ssl.key/server.key
#SSLCertificateKeyFile /apache2/conf/ssl.key/server-dsa.key

#SSLCertificateChainFile /apache2/conf/ssl.crt/ca.crt

#SSLCACertificatePath /apache2/conf/ssl.crt
#SSLCACertificateFile /apache2/conf/ssl.crt/ca-bundle.crt

#SSLCARevocationPath /apache2/conf/ssl.crl
#SSLCARevocationFile /apache2/conf/ssl.crl/ca-bundle.crl

#SSLVerifyClient require
#SSLVerifyDepth 10

<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
<Directory "/www">
SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

CustomLog /apache2/logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

</IfDefine>
###

Просто http запускается, а https нет :( Вот выписки из error_log:

[Fri Apr 23 22:53:25 2004] [notice] SIGHUP received. Attempting to restart
[Fri Apr 23 22:53:25 2004] [notice] Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7c configured -- resuming normal operations
[Fri Apr 23 22:53:25 2004] [notice] Accept mutex: flock (Default: flock)
[Fri Apr 23 22:54:49 2004] [notice] SIGHUP received. Attempting to restart
[Fri Apr 23 22:54:49 2004] [notice] Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7c configured -- resuming normal operations
[Fri Apr 23 22:54:49 2004] [notice] Accept mutex: flock (Default: flock)
[Fri Apr 23 22:59:22 2004] [notice] SIGHUP received. Attempting to restart
[Fri Apr 23 22:59:22 2004] [notice] Apache/1.3.28 (Unix) mod_ssl/2.8.15 OpenSSL/0.9.7c configured -- resuming normal operations
[Fri Apr 23 22:59:22 2004] [notice] Accept mutex: flock (Default: flock)

[A. Fig Lee]

А как Вы стартуете?

/apache2/bin/apachectl stop
/apache2/bin/apachectl startssl

[Pukite]

/apache2/bin/apachectl startssl

Ага, в этом и была вся соль. Вы мне очень помогли. При старте запрашивает пароль, ввожу его и всё происходит. Вот только неясно, кто будет вводить пароль при старте самой системы, когда всё в автоматическом режиме запускается?

И нельзя ли опубликовать минимум комманд, необходимых для создания сертификата? (на будущее) А то я пока эту кухню не особенно понимаю, а в манах утону...

[olegkin]

/apache2/bin/apachectl startssl

Ага, в этом и была вся соль. Вы мне очень помогли. При старте запрашивает пароль, ввожу его и всё происходит. Вот только неясно, кто будет вводить пароль при старте самой системы, когда всё в автоматическом режиме запускается?

И нельзя ли опубликовать минимум комманд, необходимых для создания сертификата? (на будущее) А то я пока эту кухню не особенно понимаю, а в манах утону...

Тут http://www.modssl.org/docs/2.8/ssl_faq.html#ToC24 без лишних деталей и просто все описано.

[Pukite]

|> The apache needs also the Rewrite module to be installed and the jk2
|> connector
|>
|> The jk2 connector is needed cause we are using the Tomcat as web container
|> and the apache is used only as a front end web server (and also because
|> we plan
|> to use https asap). The load balancing can be also easilly done between
|> two web servers
|> so in time this also cand be added.
|>
|> The rewrite engine from apache is needed because the main aplication
|> from tomcat isn't
|> deployed in the root context.

Вопрос: откуда взять эти 2 компоненты и что такое jk2 connector?

[A. Fig Lee]

mod_rewrite у меня почемуто в портах нет.
Можно скачать отсюда. http://httpd.apache.org/docs/mod/mod_rewrite.html

jk2 - для соединения апача с Томкатом.
cd /usr/ports/www/mod_jk2
make install clean

A Tomcat стоит? А Java скомпилирована?

[Pukite]

Ой, горе я, наверное, луковое :) Нельзя ли по порядку, что и как ставить и что от чего зависит? Дело в том, что с Явой я до сих пор дела вообще не имела :(

Пока ставлю /usr/ports/www/jakarta-tomcat4 ...

[A. Fig Lee]

Ой, горе я, наверное, луковое Нельзя ли по порядку, что и как ставить и что от чего зависит? Дело в том, что с Явой я до сих пор дела вообще не имела

Пока ставлю /usr/ports/www/jakarta-tomcat4 ...

Java - дело долгое.
Памяти надо РАМ - минимум 64 мегабайта, чтоб Ява скомпилить.
Сначала делаем

Code: Select all

#kldload linprocfs
#mount -t linprocfs linprocs /compat/linux/proc

Открываем /boot/loader.conf
Добавляем строчку
linprocfs_load="YES"
Открываем /etc/fstab
Добавляем строчку
linprocfs /compat/linux/proc linprocfs rw 0 0
kldload - ето для динамической загрузки линуховой системы, а файлы - если перегрузится, чтоб автоматически загружалось.
Теперь

Code: Select all

#cd /usr/ports/java/jdk14
#make

Он начнет ругатся что надо вручную сдаунлодить файл. Их будет штук 6 таких, довольно больших. Некоторые надо в архивных вариантах смотреть. Но их легко найти.
Придется сдаунлодить ети несколько файлов вручную и поместить их в
/usr/port/distfiles
Там надо агри с лайсенсом, поетому автоматически не даунлодит.
После етого, если make заработал может занять от нескольких часов до дня скомпилировать все дело в зависимости от процессора.
Останется

Code: Select all

#make install clean

[Pukite]

Ну вот, Ява поставлена, какой сделать следующий ход?

[A. Fig Lee]

А дальше - я думаю надо томцат из сурсов ставить. Надо почитать как он сконнектором ставится. Я его не ставил. Я поставил jboss - там все сразу.

[Pukite]

jakarta-tomcat3
jakarta-tomcat4
jakarta-tomcat41
jakarta-tomcat5

Есть такие, какой из них?

[green2003]

Ставь jboss.
http://www.jboss.org/downloads
Во первых это Java Application server, во вторых там сразу Tomcat 4.1 (если не изменяет память - по крайней мере в том который jboss 3.2.3 ). В третьих -- на сайте посмотришь сколько там всего дофига входит. Ставится - очень просто. Настраивается -- хуже, с пару пинков. Очень удобная бесплатная "штучка".

[A. Fig Lee]

jakarta-tomcat3
jakarta-tomcat4
jakarta-tomcat41
jakarta-tomcat5

Есть такие, какой из них?

или 4 или 41 - надо посмотреть какая спецификация J2EE долзна поддерживатся, такую и ставить.

А вообще я тож за jboss.

[Pukite]

Ну вот, зашла в /usr/ports/java/jboss3 и поставила jboss, в конце инсталляции было сказано, что можно /usr/local/bin/jboss3ctl start, что я и сделала. Всё это дело запустилось, а что с ним делать дальше, ума не приложу :(