Przyj

[czarownik]

Witam, dzisiaj przejąłem do administracji nowy serwer WWW, gdzie mam utrzymać istniejącą konfigurację i strony www. Pojawił się pewien problem zakupiłem certyfikaty ssl i mam problem z ich podpięciem.
Ogólnie konfiguracja apache jest (bynajmniej dla mnie) dziwna.

/etc/apache/httpd.conf:

Kod: Zaznacz cały

ServerRoot /etc/apache2

ServerName serwer.domena.net

NameVirtualHost 10.10.100.2:80
NameVirtualHost 10.10.100.2:443
NameVirtualHost domena-pierwsza.net:80
NameVirtualHost domena-pierwsza.net:443
NameVirtualHost domena-druga.net:80
NameVirtualHost domena-druga.net:443
NameVirtualHost domena-trzecia.net:80

<VirtualHost 10.10.100.2:80>
    ServerName 10.10.100.2
    ServerAdmin [email]admin@domena.net[/email]
    DocumentRoot /mnt/web/www/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On

nclude /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>


<IfModule mod_ssl.c>
  <VirtualHost 10.10.100.2:443>
    ServerName 10.10.100.2
     ServerAdmin [email]admin@domena.net[/email]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/apache.crt
       SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SetEnvIf User-Agent "."MSIE.*" \
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>


<IfModule mod_ssl.c>
  <VirtualHost 10.10.100.2:443>
    ServerName 10.10.100.2
     ServerAdmin [email]admin@domena.net[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/apache.crt
       SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

    DocumentRoot /mnt/web/www/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>


<VirtualHost domena-pierwsza.net:80>
 ServerName domena-pierwsza.net
    ServerAdmin [email]admin@domane.net[/email]
    DocumentRoot /mnt/web/www/main/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/main/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

<IfModule mod_ssl.c>
  <VirtualHost domena-pierwsza.net:443>
    ServerName domena-pierwsza.net
     ServerAdmin [email]admin@domane.net[/email]
ServerAlias [url]www.domena-pierwsza.net[/url]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/domena-pierwsza/domena-pierwsza.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-pierwsza/domena-pierwsza.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/main/
    <Directory /mnt/web/www/main/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/main>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>


<VirtualHost domena-druga.net:80>
 ServerName domena-druga.net
    ServerAdmin [email]admin@domena.net[/email]
    DocumentRoot /mnt/web/www/main/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/main/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

<IfModule mod_ssl.c>
  <VirtualHost domena-druga.net:443>
    ServerName domena-pierwsza.net
     ServerAdmin [email]admin@domana.net[/email]
ServerAlias [url]www.domena-druga.net[/url]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/domena-druga/domena-druga.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-domena/domena-druga.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/main/
    <Directory /mnt/web/www/main/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/main>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>



<VirtualHost domena-trzecia.net:80>
    ServerName domena-trzecia.net
    ServerAdmin [email]admin@doman.net[/email]
    DocumentRoot /mnt/web/www/cos/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/cos/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

Poprzedni admin pododawał dwa razy directory, tylko nie wiem poco. Plik /etc/hosts jest pusty, w katalogu /etc/apache2/sites-available/ niema vhostów. teraz nie wiem czy to jest poprawna jakaś zaawansowana konfiguracja? Prosiłbym o rozjaśnienie.

Dodatkowo gdy wygenerowałem nowe klucze i zostały podpisane przez firmę certyfikującą po ich dodaniu do:

Kod: Zaznacz cały

SSLCertificateFile /etc/apache2/ssl/domena-druga/domena-druga.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-domena/domena-druga.key

Nadal mam informację, że certyfikat jest podpisany przez samego siebie. Co może być nie tak, jest to serwer produkcyjny więc boję się eksperymentować.

[fnmirk]

czarownik, nie możesz sobie wykonać obrazu serwera i na nim przeprowadzić trochę eksperymentów?

[lessmian2]

Poprzedni admin pododawał dwa razy directory,

Pierwsza dyrektywa Directory odnosi się do korzenia filesystemu i ma za zadanie zablokować dostęp do wszystkich katalogów. Druga dyrektywa Directory odblokowuje dostęp do katalogu ze stroną.

w katalogu /etc/apache2/sites-available/ niema vhostów

Bo wszystko jest w tym jednym pliku który wkleiłeś.

czy to jest poprawna jakaś zaawansowana konfiguracja

Nie jest ona zaawansowana, ale za to bardzo niechlujna i mało czytelna (bez obrazy dla poprzedniego admina ]Nadal mam informację, że certyfikat jest podpisany przez samego siebie[/quote]W jakiej firmie kupiłeś certyfikat? Niektóre (np. te z Unizeto Certum) wymagają podania jeszcze RootCA czy certyfikatu wystawcy Twojego certyfikatu ;-)

Edit
I jeśli nie czujesz się na siłach aby dłubać na produkcyjnym serwerze, to posłuchaj fnmirka i postaw sobie gdzieś na boku maszynę do testów.

[czarownik]

Dziękuję za informację kopie już sobie zrobiłem i na niej pracuje.

W jakiej firmie kupiłeś certyfikat? Niektóre (np. te z Unizeto Certum) wymagają podania jeszcze RootCA czy certyfikatu wystawcy Twojego certyfikatu

Certyfikat kupiłem w home.pl

Wracając do tych certyfikatów, jedna rzecz nie daje mi spokoju, gdy pojawia się błąd certyfikatu mam informację ze certyfikat ma inny servername niż w certyfikowana domena, gdy edytuje certyfikat servername zgadza się z domeną, czy jest możliwość, ze gdzie indziej są zdefiniowane certyfikaty ?

[lessmian2]

mam informację ze certyfikat ma inny servername niż w certyfikowana domena, gdy edytuje certyfikat servername zgadza się z domeną, czy jest możliwość, ze gdzie indziej są zdefiniowane certyfikaty ?

Szczerze, to nie bardzo zrozumiałem co chciałeś powiedzieć ;-)

[czarownik]

[quote="lessmian2"]Szczerze, to nie bardzo zrozumiałem co chciałeś powiedzieć ]
No to jeszcze raz, bardziej obrazkowo.

Po wejściu na adres:

Kod: Zaznacz cały

https://domenapierwsza.pl

pokazuje się taki błąd:

Kod: Zaznacz cały

Nie udało się nawiązać bezpiecznego połączenia

domenapierwsza.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat jest prawidłowy tylko dla domenadruga.pl .

(Kod błędu: ssl_error_bad_cert_domain)

    * Powodem tego może być nieprawidłowa konfiguracja serwera albo próba podania się za ten serwer przez podmiot nieuprawniony.

    * Jeśli użytkownik łączył się wcześniej z tym serwerem, błąd może być tymczasowy – w tej sytuacji należy spróbować ponownie.
          Możesz także dodać wyjątek… 

Mój Virtual host:

Kod: Zaznacz cały

### ------------------- domena pierwsza  PORT 443 ------------------- ###



  <VirtualHost domenapierwsza.pl:443>
    ServerName domenapierwsza.pl
     ServerAdmin [email]admin@domenapierwsza.pl[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/domenapierwsza/domenapierwsza.crt
SSLCertificateKeyFile /etc/apache2/ssl/domenapierwsza/domenapierwsza.key
#SSLSessionCache        shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/
    <Directory /mnt/web/www/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/megastore_main_deflate.log deflate

  </VirtualHost>

Polecenie.

Natomiast po wpisaniu adresu:

Kod: Zaznacz cały

 [url]https://domenadruga.pl[/url]

Kod: Zaznacz cały

www.domenadruga.pl:443 używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat jest prawidłowy tylko dla <a id="cert_domain_link" title="domenadruga.pl">domenadruga.pl</a>.

(Kod błędu: ssl_error_bad_cert_domain)

Mój virtualhost:

Kod: Zaznacz cały

### ------------------- domena druga  PORT 443 ------------------- ###



  <VirtualHost domenadruga.pl:443>
    ServerName domenadruga.pl
     ServerAdmin [email]admin@domenadruga.pl[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/domenapierwsza/domenadruga.crt
SSLCertificateKeyFile /etc/apache2/ssl/domenapierwsza/domenadruga.key
#SSLSessionCache        shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/
    <Directory /mnt/web/www/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/megastore_main_deflate.log deflate

  </VirtualHost>

Mimo że po podglądnięciu certyfikatu wszystko powinno być dobrze.
Normalnie nie wiem co teraz robić, gdzie szukać błędu?

[ Dodano: 2009-10-24, 13:46 ]
@EDIT

Tak testowo zakomnetowałem virtual hosta odpowiedzialnego za domenę drugą i domena pierwsza działa poprawnie, co może być nie tak wygląda to tak jak by mod_ssl nie kończył się na jednych dedykowanym virtual hoscie, miał ktoś taki przypadek ?

[ Dodano: 2009-10-24, 20:32 ]
@EDIT

może zadam pytanie jeszcze inaczej, gdzie mój kochany poprzednik mógł wpisać NameServer ? W konfigu zostawiłem tylko jedną domenę i nadal mam ten sam błąd. Kurcze czas nagli a ja jestem bezradny grr

[ Dodano: 2009-10-29, 22:53 ]
Edit

Problem się rozwiązał, programiści którzy pisali stronę zaszyli na stałe domene http://www.domena.pl mino ze w pasku pokazywało domena.pl.