[devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.

Ср Янв 16 04:45:06 MSK 2013

----- Исходное сообщение -----
> От: "Aleksey Avdeev" <solo на solin.spb.ru>
> Кому: "ALT Linux Team development discussions" <devel на lists.altlinux.org>
> Отправленные: Среда, 16 Январь 2013 г 4:20:30
> Тема: Re: [devel] I: apache2-mod_ssl{,-compat}: Изменения настроек SSL.
> 
> 15.01.2013 22:47, Dmitry V. Levin пишет:
> > On Tue, Jan 15, 2013 at 10:21:35PM +0400, Aleksey Avdeev wrote:
> >> Приветствую.
> >>
> >>   Я планирую перевести дефолтные настройки
> >>   apache2-mod_ssl{,-compat} на
> >> использование общесистемного хранилища сертификатов /var/lib/ssl.
> >> (Сейчас apache2-mod_ssl использует своё внутреннее хранилище,
> >> /etc/httpd2/conf/ssl.*.)
> >>
> >>   Пока планирую сделать в
> >> /etc/httpd2/conf/sites-available/default_https{-compat,}.conf
> >> такие
> >> настройки (в значениях помеченных "????" я неуверен):
> >>
> >> #   Server Certificate:
> >> #   Point SSLCertificateFile at a PEM encoded certificate.  If
> >> #   the certificate is encrypted, then you will be prompted for a
> >> #   pass phrase.  Note that a kill -HUP will prompt again.  Keep
> >> #   in mind that if you have both an RSA and a DSA certificate you
> >> #   can configure both in parallel (to also allow the use of DSA
> >> #   ciphers, etc.)
> >> SSLCertificateFile "/var/lib/ssl/certs/server.crt"
> > 
> > Здесь и далее: поскольку /var/lib/ssl/ это общесистемное хранилище,
> > то
> > имена файлов там должны быть сервис-специфичными,
> > общеупотребительных
> > вариантов вроде server.crt следует избегать.
> 
>   OK, Тогда такой вопрос: Стоит ли стремиться к тому, чтобы apache2 и
> apache (httpd2 и httpd) пользовались общими файлами
> сертификатов/ключей?
> 
>   Если да, то допустимо ли обозвать такой сертификат (и
>   соответствующий
> ему ключ) по подсистеме? Например, использовать www.crt в качестве
> имени
> ключа?

Возможно имеет смысл пойти дальше, и назначать имена файлов site-специфично.
Пример для дефолтного сайта: http-default.crt. Потому что в системе вполне
могут появиться сайты с коммерческими сертификатами наравне с самоподписанными.

>   Если нет, то логично использовать имена демонов: httpd2.crt (для
> apache2) и httpd.crt (для apache).

Файлы ключей и сертификатов от версии апача не зависят, потому достаточно и
там и там использовать одни и те же файлы.