Polskie Forum Użytkowników Debiana

Witam, dzisiaj przejąłem do administracji nowy serwer WWW, gdzie mam utrzymać istniejącą konfigurację i strony www. Pojawił się pewien problem zakupiłem certyfikaty ssl i mam problem z ich podpięciem.
Ogólnie konfiguracja apache jest (bynajmniej dla mnie) dziwna.

/etc/apache/httpd.conf:

Kod: Zaznacz cały

ServerRoot /etc/apache2

ServerName serwer.domena.net

NameVirtualHost 10.10.100.2:80
NameVirtualHost 10.10.100.2:443
NameVirtualHost domena-pierwsza.net:80
NameVirtualHost domena-pierwsza.net:443
NameVirtualHost domena-druga.net:80
NameVirtualHost domena-druga.net:443
NameVirtualHost domena-trzecia.net:80

<VirtualHost 10.10.100.2:80>
    ServerName 10.10.100.2
    ServerAdmin [email]admin@domena.net[/email]
    DocumentRoot /mnt/web/www/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On

nclude /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>


<IfModule mod_ssl.c>
  <VirtualHost 10.10.100.2:443>
    ServerName 10.10.100.2
     ServerAdmin [email]admin@domena.net[/email]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/apache.crt
       SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SetEnvIf User-Agent "."MSIE.*" \
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>


<IfModule mod_ssl.c>
  <VirtualHost 10.10.100.2:443>
    ServerName 10.10.100.2
     ServerAdmin [email]admin@domena.net[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/apache.crt
       SSLCertificateKeyFile /etc/apache2/ssl/apache.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

    DocumentRoot /mnt/web/www/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>


<VirtualHost domena-pierwsza.net:80>
 ServerName domena-pierwsza.net
    ServerAdmin [email]admin@domane.net[/email]
    DocumentRoot /mnt/web/www/main/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/main/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

<IfModule mod_ssl.c>
  <VirtualHost domena-pierwsza.net:443>
    ServerName domena-pierwsza.net
     ServerAdmin [email]admin@domane.net[/email]
ServerAlias [url]www.domena-pierwsza.net[/url]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/domena-pierwsza/domena-pierwsza.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-pierwsza/domena-pierwsza.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/main/
    <Directory /mnt/web/www/main/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/main>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>


<VirtualHost domena-druga.net:80>
 ServerName domena-druga.net
    ServerAdmin [email]admin@domena.net[/email]
    DocumentRoot /mnt/web/www/main/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/main/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

<IfModule mod_ssl.c>
  <VirtualHost domena-druga.net:443>
    ServerName domena-pierwsza.net
     ServerAdmin [email]admin@domana.net[/email]
ServerAlias [url]www.domena-druga.net[/url]
ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl/domena-druga/domena-druga.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-domena/domena-druga.key
SetEnvIf User-Agent "."MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/main/
    <Directory /mnt/web/www/main/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/main>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate

  </VirtualHost>
</IfModule>



<VirtualHost domena-trzecia.net:80>
    ServerName domena-trzecia.net
    ServerAdmin [email]admin@doman.net[/email]
    DocumentRoot /mnt/web/www/cos/
    <Directory />
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>
<Directory /mnt/web/www/cos/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>
ErrorLog /var/log/apache2/main_error.log
LogLevel warn
CustomLog /var/log/apache2/main_access.log combined
ServerSignature On
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/main_deflate.log deflate
</VirtualHost>

Poprzedni admin pododawał dwa razy directory, tylko nie wiem poco. Plik /etc/hosts jest pusty, w katalogu /etc/apache2/sites-available/ niema vhostów. teraz nie wiem czy to jest poprawna jakaś zaawansowana konfiguracja? Prosiłbym o rozjaśnienie.

Dodatkowo gdy wygenerowałem nowe klucze i zostały podpisane przez firmę certyfikującą po ich dodaniu do:

Kod: Zaznacz cały

SSLCertificateFile /etc/apache2/ssl/domena-druga/domena-druga.csr
       SSLCertificateKeyFile /etc/apache2/ssl/domena-domena/domena-druga.key

Nadal mam informację, że certyfikat jest podpisany przez samego siebie. Co może być nie tak, jest to serwer produkcyjny więc boję się eksperymentować.

czarownik, nie możesz sobie wykonać obrazu serwera i na nim przeprowadzić trochę eksperymentów?

czarownik pisze:Poprzedni admin pododawał dwa razy directory,

Pierwsza dyrektywa Directory odnosi się do korzenia filesystemu i ma za zadanie zablokować dostęp do wszystkich katalogów. Druga dyrektywa Directory odblokowuje dostęp do katalogu ze stroną.

czarownik pisze:w katalogu /etc/apache2/sites-available/ niema vhostów

Bo wszystko jest w tym jednym pliku który wkleiłeś.

czarownik pisze:czy to jest poprawna jakaś zaawansowana konfiguracja

Nie jest ona zaawansowana, ale za to bardzo niechlujna i mało czytelna (bez obrazy dla poprzedniego admina ]Nadal mam informację, że certyfikat jest podpisany przez samego siebie[/quote]W jakiej firmie kupiłeś certyfikat? Niektóre (np. te z Unizeto Certum) wymagają podania jeszcze RootCA czy certyfikatu wystawcy Twojego certyfikatu ;-)

Edit
I jeśli nie czujesz się na siłach aby dłubać na produkcyjnym serwerze, to posłuchaj fnmirka i postaw sobie gdzieś na boku maszynę do testów.

Dziękuję za informację kopie już sobie zrobiłem i na niej pracuje.

W jakiej firmie kupiłeś certyfikat? Niektóre (np. te z Unizeto Certum) wymagają podania jeszcze RootCA czy certyfikatu wystawcy Twojego certyfikatu

Certyfikat kupiłem w home.pl

Wracając do tych certyfikatów, jedna rzecz nie daje mi spokoju, gdy pojawia się błąd certyfikatu mam informację ze certyfikat ma inny servername niż w certyfikowana domena, gdy edytuje certyfikat servername zgadza się z domeną, czy jest możliwość, ze gdzie indziej są zdefiniowane certyfikaty ?

czarownik pisze:mam informację ze certyfikat ma inny servername niż w certyfikowana domena, gdy edytuje certyfikat servername zgadza się z domeną, czy jest możliwość, ze gdzie indziej są zdefiniowane certyfikaty ?

Szczerze, to nie bardzo zrozumiałem co chciałeś powiedzieć ;-)

[quote="lessmian2"]Szczerze, to nie bardzo zrozumiałem co chciałeś powiedzieć ]
No to jeszcze raz, bardziej obrazkowo.

Po wejściu na adres:

Kod: Zaznacz cały

https://domenapierwsza.pl

pokazuje się taki błąd:

Kod: Zaznacz cały

Nie udało się nawiązać bezpiecznego połączenia

domenapierwsza.pl używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat jest prawidłowy tylko dla domenadruga.pl .

(Kod błędu: ssl_error_bad_cert_domain)

    * Powodem tego może być nieprawidłowa konfiguracja serwera albo próba podania się za ten serwer przez podmiot nieuprawniony.

    * Jeśli użytkownik łączył się wcześniej z tym serwerem, błąd może być tymczasowy – w tej sytuacji należy spróbować ponownie.
          Możesz także dodać wyjątek…

Mój Virtual host:

Kod: Zaznacz cały

### ------------------- domena pierwsza  PORT 443 ------------------- ###



  <VirtualHost domenapierwsza.pl:443>
    ServerName domenapierwsza.pl
     ServerAdmin [email]admin@domenapierwsza.pl[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/domenapierwsza/domenapierwsza.crt
SSLCertificateKeyFile /etc/apache2/ssl/domenapierwsza/domenapierwsza.key
#SSLSessionCache        shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/
    <Directory /mnt/web/www/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/megastore_main_deflate.log deflate

  </VirtualHost>

Polecenie.

Natomiast po wpisaniu adresu:

Kod: Zaznacz cały

 [url]https://domenadruga.pl[/url]

Kod: Zaznacz cały

www.domenadruga.pl:443 używa nieprawidłowego certyfikatu bezpieczeństwa.

Ten certyfikat jest prawidłowy tylko dla <a id="cert_domain_link" title="domenadruga.pl">domenadruga.pl</a>.

(Kod błędu: ssl_error_bad_cert_domain)

Mój virtualhost:

Kod: Zaznacz cały

### ------------------- domena druga  PORT 443 ------------------- ###



  <VirtualHost domenadruga.pl:443>
    ServerName domenadruga.pl
     ServerAdmin [email]admin@domenadruga.pl[/email]

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log common

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/domenapierwsza/domenadruga.crt
SSLCertificateKeyFile /etc/apache2/ssl/domenapierwsza/domenadruga.key
#SSLSessionCache        shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

 DocumentRoot /mnt/web/www/
    <Directory /mnt/web/www/>
        Options FollowSymLinks  -Indexes -MultiViews
        AllowOverride None
    </Directory>

<Directory /mnt/web/www/>
        Options FollowSymLinks MultiViews
        AllowOverride FileInfo AuthConfig Limit
        Order allow,deny
        allow from all
</Directory>

LogLevel warn
RewriteEngine On
Include /etc/apache2/sites-available/rewrite_rules_common
CustomLog /var/log/apache2/megastore_main_deflate.log deflate

  </VirtualHost>

Mimo że po podglądnięciu certyfikatu wszystko powinno być dobrze.
Normalnie nie wiem co teraz robić, gdzie szukać błędu?

[ Dodano: 2009-10-24, 13:46 ]
@EDIT

Tak testowo zakomnetowałem virtual hosta odpowiedzialnego za domenę drugą i domena pierwsza działa poprawnie, co może być nie tak wygląda to tak jak by mod_ssl nie kończył się na jednych dedykowanym virtual hoscie, miał ktoś taki przypadek ?

[ Dodano: 2009-10-24, 20:32 ]
@EDIT

może zadam pytanie jeszcze inaczej, gdzie mój kochany poprzednik mógł wpisać NameServer ? W konfigu zostawiłem tylko jedną domenę i nadal mam ten sam błąd. Kurcze czas nagli a ja jestem bezradny grr

[ Dodano: 2009-10-29, 22:53 ]
Edit

Problem się rozwiązał, programiści którzy pisali stronę zaszyli na stałe domene http://www.domena.pl mino ze w pasku pokazywało domena.pl.

Polskie Forum Użytkowników Debiana

Przyj

Przyjąłem nowy serwer, jak go usprawnić?