Я настраиваю сервер Subversion Apache для использования сертификатов безопасности для аутентификации Kerberos с доменом AD.
Я успешно заставил его работать с mod_ssl с конфигурацией ssl.conf ниже, но не с mod_nss. Для mod_nss конфигурация, которой я следовал, в основном взята из этой статьи: https://access.redhat.com/articles/1467293. Если ссылка на mod_nss недоступна, я также включил заметные строки конфигурации mod_nss ниже.
Итак, мне было просто интересно, есть ли какие-либо рекомендации / плюсы / минусы для использования mod_ssl и mod_nss. Бонус, если я смогу понять, что было не так с mod_nss. Я получал ошибки протокола на клиенте.
ssl.conf:
LoadModule ssl_module modules/mod_ssl.so
Listen 443
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost _default_:443>
ErrorLog logs/svn_ssl_error_log
TransferLog logs/svn_ssl_access_log
LogLevel debug
SSLEngine on
SSLProtocol TLSv1.1 TLSv1.2
SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
<Location /App_User>
DAV svn
SVNPath "/opt/user/App_User"
AuthType Kerberos
AuthName Kerberos
KrbMethodNegotiate Off
KrbMethodK5Passwd On
KrbServiceName Any
KrbAuthRealms SRV01.COMPANY.COM
KrbSaveCredentials on
KrbLocalUserMapping on
KrbVerifyKDC Off
AuthzSVNAccessFile /opt/user/access.txt
require valid-user
</Location>
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>
nss.conf:
NSSEngine on
NSSPassPhraseDialog file:/etc/httpd/alias/pin.txt
NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2
NSSCipherSuite +ecdh_ecdsa_aes_128_sha,+ecdh_ecdsa_aes_256_sha,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_128_sha_256,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_ecdsa_aes_256_sha_384,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_128_sha_256,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+ecdhe_rsa_aes_256_sha_384,+ecdh_rsa_aes_128_sha,+ecdh_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha,
NSSCertificateDatabase /etc/httpd/alias
# The name needs to match the name in the db
NSSNickname rhel7-64.example.com
NSSProtocol TLSv1.0,TLSv1.1,TLSv1.2
NSSCipherSuite +ecdh_ecdsa_aes_128_sha,+ecdh_ecdsa_aes_256_sha,+ecdhe_ecdsa_aes_128_gcm_sha_256,+ecdhe_ecdsa_aes_128_sha,+ecdhe_ecdsa_aes_128_sha_256,+ecdhe_ecdsa_aes_256_gcm_sha_384,+ecdhe_ecdsa_aes_256_sha,+ecdhe_ecdsa_aes_256_sha_384,+ecdhe_rsa_aes_128_gcm_sha_256,+ecdhe_rsa_aes_128_sha,+ecdhe_rsa_aes_128_sha_256,+ecdhe_rsa_aes_256_gcm_sha_384,+ecdhe_rsa_aes_256_sha,+ecdhe_rsa_aes_256_sha_384,+ecdh_rsa_aes_128_sha,+ecdh_rsa_aes_256_sha,+rsa_aes_128_gcm_sha_256,+rsa_aes_128_sha,+rsa_aes_256_gcm_sha_384,+rsa_aes_256_sha,+rsa_rc4_128_sha
NSSCertificateDatabase /etc/httpd/alias
Я использую версию Apache: Apache / 2.2.15 на Redhat 6.9
mod_ssl использует библиотеку OpenSSL для реализации TLS; mod_nss вместо этого использует библиотеку NSS. Они исключают друг друга.
mod_nss используется редко. Фактически, NSS практически не используется где-либо, кроме приложений Mozilla, из которых он был создан (например, Firefox и Thunderbird в наши дни).
Если у вас нет очень специфических и необычных требований, которые вынуждают использовать mod_nss, нет причин использовать его.
Они похожи друг на друга, с похожей конфигурацией и почти идентичными возможностями. Используйте тот, который вам больше подходит.
Как говорит duskwuff, mod_ssl гораздо более широко используется, поэтому вы найдете дополнительную помощь, и другим будет легче понять вашу конфигурацию.
Лично мне нравится, как mod_nss лучше управляет сертификатами. Он хранит их в файле базы данных и использует certutil и pk12util для управления ими. certutil может легко показать вам цепочку сертификатов и проверить ее на основе сертификатов в вашей базе данных, чтобы вы знали, действительна ли цепочка, прежде чем запускать службу. У Openssl нет простого способа сделать это.