Назад | Перейти на главную страницу

Как проверить apache на наличие SNI (Server Name Indication)?

У меня есть сервер centos 7. Я перешел с apache 2.4.6 на apache 2.4.25, используя репозиторий IUS (https://ius.io/). Моя цель - поддерживать несколько сертификатов SSL с одним IP.

Я установил:

Включен ли apache SNI?

Или мне нужно создать его с нуля с помощью ./configure --with-ssl = / path / to / your / openssl, как в документации (https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI)?

Спасибо за уделенное время.

Стандартные пакеты CentOS httpd и mod_ssl уже поддерживали SNI. SNI поддерживается openssl начиная с версии 0.9.8f, а любой httpd, начиная с версии 2.2.12, созданный с помощью openssl 0.9.8f и новее, автоматически будет поддерживать SNI.

Но чтобы проверить, поддерживают ли ваши httpd и mod_ssl SNI:

Просто проверьте, настроив виртуальные хосты SSL / TLS на основе имени, и проверьте журнал ошибок после перезапуска (из Apache httpd вики вы уже ссылались на):

Как узнать, поддерживает ли ваша сборка Apache SNI?

Если вы настроили несколько виртуальных хостов на основе имен для адреса, на котором настроен SSL, а SNI не встроен в ваш Apache, то при запуске Apache появится сообщение вроде

"Вы не должны использовать виртуальные хосты на основе имен вместе с SSL !!"

появится в журнале ошибок.
Если SNI встроен, в журнале ошибок будет отображаться

"[предупреждение] Инициализация: виртуальные хосты SSL на основе имен работают только для клиентов с поддержкой указания имени сервера TLS (RFC 4366)".

В качестве альтернативы используйте ldd чтобы подтвердить, что mod_ssl связан с libssl openssl, и подтвердите версию:

ldd /usr/lib64/httpd/modules/mod_ssl.so
    linux-vdso.so.1 =>  (0x00007fff323f8000)
    libssl.so.10 => /lib64/libssl.so.10 (0x00007f3d99792000)        <=======
    libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007f3d993a8000)
    libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f3d9918b000)
    libdl.so.2 => /lib64/libdl.so.2 (0x00007f3d98f87000)
    libc.so.6 => /lib64/libc.so.6 (0x00007f3d98bc6000)
    libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007f3d98977000)
    libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007f3d98690000)
    libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007f3d9848c000)
    libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007f3d98259000)
    libz.so.1 => /lib64/libz.so.1 (0x00007f3d98043000)
    /lib64/ld-linux-x86-64.so.2 (0x00007f3d99c3d000)
    libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007f3d97e34000)
    libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007f3d97c2f000)
    libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f3d97a15000)
    libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f3d977ed000)
    libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f3d9758c000)
rpm -qf /lib64/libssl.so.10
openssl-libs-1.0.1e-60.el7_3.1.x86_64