[devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.

Вт Янв 15 23:20:30 MSK 2013

15.01.2013 22:47, Dmitry V. Levin пишет:
> On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
>> Приветствую.
>>
>>   Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
>> использование общесистемного хранилища сертификатов /var/lib/ssl.
>> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
>> /etc/httpd2/conf/ssl.*.)
>>
>>   Пока планирую сделать в
>> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
>> настройки (в значениях помеченных "????" я неуверен):
>>
>> #   Server Certificate:
>> #   Point SSLCertificateFile at a PEM encoded certificate.  If
>> #   the certificate is encrypted, then you will be prompted for a
>> #   pass phrase.  Note that a kill -HUP will prompt again.  Keep
>> #   in mind that if you have both an RSA and a DSA certificate you
>> #   can configure both in parallel (to also allow the use of DSA
>> #   ciphers, etc.)
>> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> 
> Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
> имена файлов там должны быть сервис-специфичными, общеупотребительных
> вариантов вроде server.crt следует избегать.

  OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?

  Если да, то допустимо ли обозвать такой сертификат (и соответствующий
ему ключ) по подсистеме? Например, использовать www.crt в качестве имени
ключа?

  Если нет, то логично использовать имена демонов: httpd2.crt (для
apache2) и httpd.crt (для apache).

-- 

С уважением. Алексей.

----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 900 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20130115/27a7608c/attachment.bin>