Jump to content
php.lv forumi

SSL


Recommended Posts

kaac mosh zin kaa pie apache var piekurbuleet SSL.

 

meeginaaju visaadi bet nesanaaaca. itkaa httpd.conf failaa ir includoc

 

<IfModule mod_ssl.c>

Include conf/ssl.conf

</IfModule>

 

bet shis biku nestraadaa. nu vismaz es taa domaaju, jo kad raxta https

tad raada error:

seccure connection fatal error (47)

transmission failure

 

kaac mosh ir ar to ciiniijies.

ceru uz kaut kaadu help

:( :( :(

Link to comment
Share on other sites

kaadus protokolus tur vajag. nu es atstaaaju visus kas ir ssh config failaa. var buur kaac var iedot caadu konfiga faila paraugu. buutu ljoooooti pateiciiks ja kaac paliidzeetu.

 

bet SSL tax ir uz https

 

un tad ip adrese.

Link to comment
Share on other sites

nekāds dižais specs jau neesmu, bet nedaudz papļurkstēšu...

 

cik saprotu no Alekseja teiktā, un atminos no savām zināšanām (šobrīd rakstu bakalaura darbu par kriptogrāfiju), https nepietiek vienkārši "piejūgt"... tur vēl ir tāda lieta kā sertifikāti, kurus tur vajag ģenerēt, menedžēt. Bet trakākais laikam bij tas, ka priekš tā visa lielā daļā gadījumu bij jāpērk kaut kādas tur licences vai softi... sertifikāti, šķiet, bij jāģenerē dažādiem sertifikātiem - SSL-2, SSL-3 vai kaut kādiem tur vēl. ja neko nejaucu... ;) nu jā - un klientiem arī jābūt mūsdienīgiem, ar enablētiem SSL u.t.t.

 

tā ka - zinātāji drīkst palabot.

 

btw - darbā drīz arī nāksies ar šito "patrenēties"... kad zināšu ko precīzāk un būšu izkodies caur literatūras kalneim- labprāt iepostēšu, ja vien kāds guru nebūs izklāstījis no a..z

Link to comment
Share on other sites

Parasti to konfigurāciju raksta mod_ssl.conf failā.

httpd.conf failā tikai ieliek rindiņu

Include /etc/apache/mod_ssl.conf

 

mod_ssl.conf, savukārt izskatās kaut kā šādi...

LoadModule ssl_module libexec/libssl.so
AddModule mod_ssl.c
<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>

<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
</IfDefine>

<IfModule mod_ssl.c>

SSLPassPhraseDialog  builtin

SSLSessionCache         dbm:/var/log/apache/ssl_scache
SSLSessionCacheTimeout  300

SSLMutex  file:/var/log/apache/ssl_mutex

SSLRandomSeed startup builtin
SSLRandomSeed connect builtin

SSLLog      /var/log/apache/ssl_engine_log
SSLLogLevel info

</IfModule>

<IfDefine SSL>

<VirtualHost _default_:443>

DocumentRoot "/var/www/webmail/source"
ServerName drohais.compis.lv
ServerAdmin mail@compis.lv
ErrorLog /var/log/apache/error_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

SSLCertificateFile /etc/apache/ssl.crt/webmailcert.pem #SSL Sertifikāts
SSLCertificateKeyFile /etc/apache/ssl.crt/webmailkey.pem #SSL Atslēga
SSLCACertificateFile /etc/apache/ssl.crt/cacert.pem #CA (Certification Authority) sertifikāts


<Files ~ "\.(cgi|shtml|phtml|php3?)$">
   SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
   SSLOptions +StdEnvVars
</Directory>

SetEnvIf User-Agent ".*MSIE.*" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0

CustomLog /var/log/apache/ssl_request_log \
         "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

</IfDefine>

Galvenā uzmanība jāpievērš rindiņām:

SSLCertificateFile /etc/apache/ssl.crt/webmailcert.pem #SSL Sertifikāts

SSLCertificateKeyFile /etc/apache/ssl.crt/webmailkey.pem #SSL Atslēga

SSLCACertificateFile /etc/apache/ssl.crt/cacert.pem #CA (Certification Authority) sertifikāts

 

Pārējo visu itkā neaiztiku nemaz.

 

Kā jau DimanC teica, sertifikātus vajag ģenerēt.

Starp citu kas tad tas sertifikāts tāds ir? (Retorisks jautājums).

Sertifikāts ir tāda publiskā atslēga, ko ir parakstījusi CA (Sertifikācijas Autoritāte), kurai klients uzticas/neuzticas.

Vari izvēlēties 3 variantus, kā realizēt SSL:

1) Katram serverim ģenerē atslēgu komplektu, kuru nekādā veidā neparaksta.

Trūkumi: Katrs šāds sertifikāts ir jāuzinstalē uz katra klienta datora, lai dators katru reizi nebļaustitos, ka kaut kas nav kārtībā ar sertifikātu.

Šī metode ir pieņemama, ja klientu skaits ir ierobežots un nav daudz serveru.

2) Noģenerētos sertifikātus sūta parakstīšanai uz Verisign, Thawte utml organizācijām, kas ietilpst Trusted Certificate Authority sarakstā (Varat papētit šo sarakstu pārlūka).

Trūkumi: Maksā diezgan dārgi šis prieks.

Ieguvumi: Sertifikāts darbojas uzreiz un bez jebkādām papildus manipulācijām uz klienta datora.

Šī metode ir pieņemama, ja klientu ir ļoti daudz un tiešām ir aktuāli "Man In The Middle" tipa uzbrukumi. Šo metodi parasti izmanto finansu organizācijas.

3) Noģenerējam savu CA sertifikātu, ar kuru parakstam savas atslēgas.

Trūkumi: Uz katra klienta ir jāuzinstalē CA sertifikāts (ņemiet vērā, ka ar šādu sertifikātu var parakstīt jebkura domēna ssl sertifikātu un tas tiks pieņemts kā īsts).

Ieguvumi: Jāuzinstalē tikai viens sertifikāts (CA) - pārējie tiks pieņemti, kā likumīgi parakstīti ar šo CA.

Šis risinājums pieņemams Intranet risinājumos, kuros var nodrošināt to ka tiek uzinstalēts attiecīgais CA sertifikāts.

 

Turpinājums sekos.... Man jāskriem ;)

Edited by Aleksejs
Link to comment
Share on other sites

SSL jeb Secure Socket Layer nodrošina klienta-servera autentificēšanos, apmaiņu ar seansa šifrēšanas atslēgām un seansā sūtīto datu šifrēšanu. Autentificēšanās un atslēgu apmaiņas procesā tiek izmantoti asimetriskie (jeb publiskās atslēgas) kriptogrāfiskie algoritmi, savukārt seansa datu šifrēšanā simetriskie (jeb slepenās atslēgas) kriptogrāfiskie algoritmi.

Izplatītākās izmantošanas vietas:

https - web piekļuve ar šifrētu datu kanālu (nedaudz nekorekti, jo ar kanāla šifrēšanu parasti apzīmē, ko citu).

spop - piekļuve POP pasta serverim ar šifrētu datu kanālu;

simap

un smtp ar SSL atbalstu.

 

Ieguvumi - taviem dārgajiem tīkla kaimiņiem ir daudzreiz grūtāk redzēt tavas paroles/apskatāmās weblapas/nosūtāmos un saņemamos mailus.

Link to comment
Share on other sites

×
×
  • Create New...