[devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
Dmitry V. Levin
ldv на altlinux.org
Ср Янв 16 01:28:42 MSK 2013
On Tue, Jan 15, 2013 at 11:20:30PM +0400, Aleksey Avdeev wrote:
> 15.01.2013 22:47, Dmitry V. Levin пишет:
> > On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> >> Приветствую.
> >>
> >> Я планирую перевести дефолтные настройки apache2-mod_ssl{,-compat} на
> >> использование общесистемного хранилища сертификатов /var/lib/ssl.
> >> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> >> /etc/httpd2/conf/ssl.*.)
> >>
> >> Пока планирую сделать в
> >> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf такие
> >> настройки (в значениях помеченных "????" я неуверен):
> >>
> >> # Server Certificate:
> >> # Point SSLCertificateFile at a PEM encoded certificate. If
> >> # the certificate is encrypted, then you will be prompted for a
> >> # pass phrase. Note that a kill -HUP will prompt again. Keep
> >> # in mind that if you have both an RSA and a DSA certificate you
> >> # can configure both in parallel (to also allow the use of DSA
> >> # ciphers, etc.)
> >> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> >
> > Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище, то
> > имена файлов там должны быть сервис-специфичными, общеупотребительных
> > вариантов вроде server.crt следует избегать.
>
> OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
> apache (httpd2 и httpd) пользовались общими файлами сертификатов/ключей?
Если бы httpd и httpd2 было бы невозможно установить в систему одновременно,
то можно было бы использовать для них общее имя. Но лучше не рисковать и
просто дать каждому свое имя.
> Если нет, то логично использовать имена демонов: httpd2.crt (для
> apache2) и httpd.crt (для apache).
Например, так.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 198 байтов
Описание: отсутствует
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20130116/546c7659/attachment.bin>
Подробная информация о списке рассылки Devel