Apache2 + SSL

[Alnath]

Ok, lo ammetto... sono fermo al "palo" 
Ecco la situazione: ho generato i file certificato.csr, certificato.key e certificato.crt e fin qui nessun problema;
poi ho abilitato il modulo ssl di apache2 mediante il comando a2enmod ssl ed anche fin qui tutto bene;
poi ho editato il file di configurazione di default ed ho aggiunto alla fine:

Codice: [Seleziona]

<VirtualHost *:443>
        ServerAdmin webmaster@mio.dominio
        DocumentRoot /var/www
        SSLEngine On

        SSLCertificateFile /percorso/certificato.crt
        SSLCertificateKeyFile /percorso/certificato.key
</VirtualHost>
ma in fase di riavvio di apache2 il comando fallisce miseramente...
ora per? mi sorge un dubbio: per caso la prima parte del file (quella che inizia normalmente con <VirtualHost *>) va modificata in <VirtualHost *:80>

Ah, dimenticavo: ho dato chmod 400 certificato.key e chown root:root certificato.key e chmod 644 certificato.crt

[name29]

Codice: [Seleziona]

<VirtualHost *:443>
ServerName www.name29.net
DocumentRoot /rete/apache2/siti/www.name29.net/www/
LogLevel debug
ErrorLog /rete/apache2/siti/www.name29.net/log/errorhttps.log
CustomLog /rete/apache2/siti/www.name29.net/log/accesshttps.log combined
SSLEngine on
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
SSLCertificateFile /rete/apache2/certificati/www.name29.net/www.name29.net.cert
SSLCertificateKeyFile /rete/apache2/certificati/www.name29.net/www.name29.net.key
</VirtualHost>



[Alnath]

Ok name29... dire che ho capito poco ? un eufemismo... ti ringrazio comunque.
Prima ho scritto un'imprecisione, il file di default ? cos? scritto:

Codice: [Seleziona]

NameVirtualHost *
<VirtualHost *>
        ServerAdmin webmaster@mio.dominio
        DocumentRoot /var/www
        ...
</VirtualHost>

NameVirtualHost *:443
<VirtualHost *:443>
        ServerAdmin webmaster@mio.dominio
        DocumentRoot /var/www

        SSLEngine On
        SSLProtocol All -SSLv2
        SSLCipherSuite All:!EXP:!NULL:!ADH:!LOW

        SSLCertificateFile /percorso/certificato.crt
        SSLCertificateKeyFile /percorso/certificato.key
</VirtualHost>
la mia domanda ? questa:
devo modificare la prima parte del file (quella con solo '*') cos?:

Codice: [Seleziona]

NameVirtualHost *:80
<VirtualHost *:80>
ed aggiungere l'intera sezione *:443 oppure sostituire semplicemente '*' con *:443 ed aggiungere le righe

Codice: [Seleziona]

SSLEngine On
SSLProtocol All -SSLv2
SSLCipherSuite All:!EXP:!NULL:!ADH:!LOW

SSLCertificateFile /percorso/certificato.crt
SSLCertificateKeyFile /percorso/certificato.key
prima della dicitura </VirtualHost> 
Help....

[name29]

metti all'inizio:

Codice: [Seleziona]

NameVirtualHost *:80
NameVirtualHost *:443

e alla fine

Codice: [Seleziona]

SSLEngine on
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
SSLCertificateFile /rete/apache2/certificati/www.name29.net/www.name29.net.cert
SSLCertificateKeyFile /rete/apache2/certificati/www.name29.net/www.name29.net.key

non aggiungere altro...

[Alnath]

Ok, ma secondo te... ? meglio effettuare la connessione protetta in questo modo oppure utilizzare ssl-cert e quindi generare il file .pem???

[name29]

Ok, ma secondo te... ? meglio effettuare la connessione protetta in questo modo oppure utilizzare ssl-cert e quindi generare il file .pem???

bho!!!!
io odio i certificati!
cmq penso che in questo modo la connessione sia gi? abbastanza sicura...

[Alnath]

Altra domandona prima di passare dalla teoria alla pratica (gi?, gli esperimenti li faccio di notte... poi di giorno verifico):
Ma se tutte le volte che si usa il file certificato.key bisogna inserire la pass phrase, in fase di avvio del sistema operativo bisogna digitarla? Perch? se cos? fosse avrei qualche problema, visto che il serverino si spegne/accende ad orari prestabiliti...

[name29]

Altra domandona prima di passare dalla teoria alla pratica (gi?, gli esperimenti li faccio di notte... poi di giorno verifico):
Ma se tutte le volte che si usa il file certificato.key bisogna inserire la pass phrase, in fase di avvio del sistema operativo bisogna digitarla? Perch? se cos? fosse avrei qualche problema, visto che il serverino si spegne/accende ad orari prestabiliti...

si.... guarda qui: http://www.robertotoscani.it/lab/ubuntu_configurare_ssl_su_apache2

[Alnath]

Ok, alla fine ho risolto dividendo in due file distinti le configurazioni di connessione ai VirtualHost (:80 e :443)...
per quanto riguardava la configurazione del canale protetto il codice giusto, per completezza, ?

Codice: [Seleziona]

SSLEngine on
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire

SSLCertificateFile /percorso/certificato.cert
SSLCertificateKeyFile /percorso/certificato.key

ti ringrazio name29, in effetti mi stavo perdendo in un bicchiere d'H2O 
ma come avevo accennato, anche se in questo modo funziona egregiamente, resta il fatto che in fase di avvio del demone httpd viene richiesto l'inserimento della pass phrase e questo, per quanto mi riguarda, non ? un percorso percorribile (il server viene spento ad intervalli regolari e si riaccende autonomamente, percui l'intervento "manuale" ogni volta non ? accettabile)

Ho provato quindi l'installazione del pacchetto ssl-cert che consente la creazione del certificato.pem e, tralasciando la durata (1 mese) di tale certificato, modificato nuovamente il file di configurazione al VirtualHost:443 in questo modo

Codice: [Seleziona]

SSLEngine on

SSLCertificateFile /percorso/certificato.pem

Ho raggiunto lo scopo prefissato: il server si accende senza alcun intervento manuale. Non mi resta altro da fare che aumentare la durata del certificato ( ) a piacimento e fare in modo che la connessione si converta automaticamente dalla 80 alla 443... ma per questo devo ancora documentarmi bene.
procedo a piccoli passi, ma prima di fare voglio capire il perch? si f?.

[name29]

ma hai ricreato i certificati come nel url indicato da me? .... con l'ultimo passaggio toglie la richiesta della pass phrase.

[Alnath]

con l'ultimo passaggio toglie la richiesta della pass phrase.

Quale??? Comunque ho lasciato la configurazione tramite ssl-cert visto che mi pace di pi?... tra l'altro ho notato che la durata di un solo mese del certificato ? data da un bug, mi sto documentando, appena ho un p? di tempo risolvo... ora per? sono alle prese con openssh, ma qui siamo decisamente OT.

[name29]

per il redirect:

in /var/www metti SOLO index.php e il sito lo metti in /var/www/sito/

index.php:

Codice: [Seleziona]

<?PHP
header("location: https://srvalnath.no-ip.info/sito/");
?>


[Alnath]

tnx

[Alnath]

ora per? sono alle prese con openssh, ma qui siamo decisamente OT.

Che comunque ho gi? installato e configurato...

[name29]

ora per? sono alle prese con openssh, ma qui siamo decisamente OT.

Che comunque ho gi? installato e configurato...

che problema hai?