[devel] Вопросы новичка

[Victor B. Wagner]

On 2009.05.07 at 12:45:29 +0400, Aleksey Avdeev wrote:

> >приложений которые я уже тестировал на работу с российской криптографией
> >и точно знаю что нужно, чтобы оно работало.
> 
>   Что надо сделать в apache и apache2 чтобы оно взлетело?

1. Использовать OpenSSL в которой есть поддержка российских алгоритмов,
то есть либо модифицированную 0.9.8, которую можно скачать с
www.cryptocom.ru как триальную версию MagPro CryptoPack 1.0, либо 
OpenSSL 1.0.

2. Apache очень хитрым образом работает с ключами и подгружаемыми
модулями, он их внутри себя обратно сериализует, а потом опять
разбирает. При этом в код, который этим занимается, забито гвоздями что
криптоалгоритмов кроме RSA и DSA не бывает. 
Поэтому требуется патчик.

Патчи для mod_ssl для apache1.3 для работы с MagPro CryptoPack и 
для apache 2.2 и для MagPro CryptoPack и для OpenSSL 1.0 можно взять
на www.cryptocom.ru/OpenSource/OpenSSL_rus.html.

Обращаю ваше внимание на то, что патчи для работы с расширенным списокм
алгоритмов в OpenSSL 1.0 и в модифицированной 0.9.8 - разные. 
mod_ssl для Apache 1.3 я с OpenSSL 1.0 пересобирать не пробовал.

Теоретически, патчи к Apache 2.2 для работы с OpenSSL 1.0 должны
обеспечить работу не только с ГОСТ, но и с ECDSA/EECDH, но я не
проверял.

В принципе, патч к Apache 2.2 для OpenSSL 1.0 я года полтора назад 
постил в apache-dev, но там он энтузиазма почему-то не вызвал.

3. Сосуществование двух версий OpenSSL в одном процессе невозможно.
Даже если у них разный soname.
Поэтому требуется чтобы все библиотеки с которыми линкуется apache,
а также libaprutil и libapr были пересобраны с той же самой версией
OpenSSL.  

То есть для того, чтобы заставить apache 2.2 из Alt 4.0 работать с ГОСТ
мне потребовалось пересобрать openldap, postgresql и mysql.

Собственно libaprutil, что самое смешное, пересобирать не потребовалось.