Я потратил часы и часы на изучение этой проблемы, и, прежде чем сделать что-нибудь радикальное, например переделать все соответствующие конфигурации, я подумал, что попрошу о помощи.
Я студент-системный администратор в колледже, и у нас возникла проблема с веб-сайтом, который мы размещаем. Посещение веб-сайта дает предупреждение «сертификат безопасности не является надежным». Просмотр сертификата показывает, что это самозаверяющий сертификат сервера по умолчанию, а не тот, который мы приобрели и который должен обслуживаться.
Эта проблема впервые привлекла наше внимание, когда мы попытались переключить этот домен с «обычного» сайта на новый сайт Drupal. Первоначально domain.flavor.name.edu и domain.name.edu указывали на один и тот же обычный сайт. Мы хотели, чтобы domain.flavor.name.edu указывал на старый и указывал на domain.name.edu новый сайт Drupal, поэтому я удалил файлы domain.name.edu.conf из vhosts.d. Понятно, что возникли ошибки SSL, но поскольку я никогда не видел ни одного из наших других сайтов с действующим SSL, я не придал этому большого значения. Однако начальник утверждает, что раньше SSL работал нормально. Чтобы вернуться, я вернул файлы, которые я удалил, но я не думаю, что это решило проблему (извините, я немного нечеткий, прошло несколько недель с тех пор, как это произошло впервые, и другой системный администратор, возможно, изменился кое-что тоже). В любом случае, возможно, это означает, что проблема действительно связана только с .confs в vhosts.d, поскольку domain.name.edu все еще указывает на новый сайт Drupal, а не обратно на старый. Я выполнил несколько перезапусков apache, как постепенный, так и регулярный.
Сервер (на котором запущен Gentoo) настроен с виртуальными хостами на основе имен, все на одном IP. Насколько я понимаю, у нас должна быть возможность иметь несколько сайтов с разными сертификатами SSL через SNI. Error_log подтверждает, что у нас настроен SNI (Init: виртуальные хосты SSL на основе имени работают только для ...).
в /etc/apache2/vhosts.d/ есть:
00_default_vhost.conf
00_ssl_domain.name.edu.conf
05_default_ssl_vhost.conf
blah blah more .confs
Я помню, что читал, могут быть какие-то конфликты, если Apache сначала прочитает неправильный .conf в vhosts.d и сделает все, что там, без дальнейших поисков или что-то в этом роде, но я думаю, что числа должны позаботиться об этом, по порядку 00_ssl_domain.name.edu должно быть перед значением по умолчанию.
В 00_ssl_domain.name.edu.conf
...
SSLCertificateFiles /etc/ssl/apache2/domain.name.edu.crt
...
SSLCertificateKeyFile /etc/ssl/apache2/domain.name.edu.key
...
SSLCertificateChainFile /etc/ssl/apache2/geotrust.crt
...
И сертификат, и промежуточный уровень должны быть хорошими, я даже откопал письмо, полученное ранее этой весной, когда мы получили сертификаты и скопировали их. openssl verify -CAfile geotrust.crt domain.name.edu.crt возвращает ОК.
Возможно, это проблема Drupal, возможно, я что-то ужасно испортил, но любая помощь будет очень благодарна.
* отказ от ответственности: извините за длинный текст, к тому же я нахожусь на своем посту всего год, и только в любом качестве с начала этого семестра. Предыдущий системный администратор, который все здесь делал, покинул этот сем. По сути, я не настраивал эти серверы, установку apache и т. Д.
Edit1: тестирование в Windows 7 с Firefox 15, Chrome 22 и IE 9 дает одинаковый результат
Edit2: Соответствующий vhosts.d 00_ssl_domain.name.edu.conf
<IfDefine SSL>
#<IfDefine SSL_DEFAULT_VHOST>
<IfModule ssl_module>
# see bug #178966 why this is in here
# When we also provide SSL we have to listen to the HTTPS port
# Note: Configurations that use IPv6 but not IPv4-mapped addresses need two
# Listen directives: "Listen [::]:443" and "Listen 0.0.0.0:443"
Listen 128.220.29.244:443
#Added so that the ServerName directive works
NameVirtualHost 128.220.29.244:443
# Go ahead and accept connections for these vhosts
# from non-SNI clients
SSLStrictSNIVHostCheck off
<VirtualHost 128.220.29.244:443>
ServerName domain.name.edu
#Include /etc/apache2/vhosts.d/default_vhost.include
Include /etc/apache2/vhosts.d/domain.include
<IfModule log_config_module>
TransferLog /var/log/apache2/ssl_access_domain.name.edu
</IfModule>
## SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
#SSLLog /var/log/apache2/ssl_engine_log
LogLevel debug
## SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
## Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If the certificate
# is encrypted, then you will be prompted for a pass phrase. Note that a
# kill -HUP will prompt again. Keep in mind that if you have both an RSA
# and a DSA certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
SSLCertificateFile /etc/ssl/apache2/domain.name.edu.crt
## Server Private Key:
# If the key is not combined with the certificate, use this directive to
# point at the key file. Keep in mind that if you've both a RSA and a DSA
# private key you can configure both in parallel (to also allow the use of
# DSA ciphers, etc.)
SSLCertificateKeyFile /etc/ssl/apache2/domain.name.edu.key
## Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the concatenation of
# PEM encoded CA certificates which form the certificate chain for the
# server certificate. Alternatively the referenced file can be the same as
# SSLCertificateFile when the CA certificates are directly appended to the
# server certificate for convinience.
SSLCertificateChainFile /etc/ssl/apache2/geotrust.crt
#SSLCertificateChainFile /etc/ssl/test-certs/geotrust.crt
## Certificate Authority (CA):
# Set the CA certificate verification path where to find CA certificates
# for client authentication or alternatively one huge file containing all
# of them (file must be PEM encoded).
# Note: Inside SSLCACertificatePath you need hash symlinks to point to the
# certificate files. Use the provided Makefile to update the hash symlinks
# after changes.
#SSLCACertificatePath /etc/ssl/apache2/ssl.crt
#SSLCACertificateFile /etc/ssl/apache2/ca-bundle.crt
## Certificate Revocation Lists (CRL):
# Set the CA revocation path where to find CA CRLs for client authentication
# or alternatively one huge file containing all of them (file must be PEM
# encoded).
# Note: Inside SSLCARevocationPath you need hash symlinks to point to the
# certificate files. Use the provided Makefile to update the hash symlinks
# after changes.
#SSLCARevocationPath /etc/ssl/apache2/ssl.crl
#SSLCARevocationFile /etc/ssl/apache2/ca-bundle.crl
## Client Authentication (Type):
# Client certificate verification type and depth. Types are none, optional,
# require and optional_no_ca. Depth is a number which specifies how deeply
# to verify the certificate issuer chain before deciding the certificate is
# not valid.
#SSLVerifyClient require
#SSLVerifyDepth 10
## Access Control:
# With SSLRequire you can do per-directory access control based on arbitrary
# complex boolean expressions containing server variable checks and other
# lookup directives. The syntax is a mixture between C and Perl. See the
# mod_ssl documentation for more details.
#<Location />
# #SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)/ \
# and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
# and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
# and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \
# and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 ) \
# or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/
#</Location>
## SSL Engine Options:
# Set various options for the SSL engine.
## FakeBasicAuth:
# Translate the client X.509 into a Basic Authorisation. This means that the
# standard Auth/DBMAuth methods can be used for access control. The user
# name is the `one line' version of the client's X.509 certificate.
# Note that no password is obtained from the user. Every entry in the user
# file needs this password: `xxj31ZMTZzkVA'.
## ExportCertData:
# This exports two additional environment variables: SSL_CLIENT_CERT and
# SSL_SERVER_CERT. These contain the PEM-encoded certificates of the server
# (always existing) and the client (only existing when client
# authentication is used). This can be used to import the certificates into
# CGI scripts.
## StdEnvVars:
# This exports the standard SSL/TLS related `SSL_*' environment variables.
# Per default this exportation is switched off for performance reasons,
# because the extraction step is an expensive operation and is usually
# useless for serving static content. So one usually enables the exportation
# for CGI and SSI requests only.
## StrictRequire:
# This denies access when "SSLRequireSSL" or "SSLRequire" applied even under
# a "Satisfy any" situation, i.e. when it applies access is denied and no
# other module can change it.
## OptRenegotiate:
# This enables optimized SSL connection renegotiation handling when SSL
# directives are used in per-directory context.
#SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/var/www/localhost/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
## SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait
# for the close notify alert from client. When you need a different
# shutdown approach you can use one of the following variables:
## ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates the
# SSL/TLS standard but is needed for some brain-dead browsers. Use this when
# you receive I/O errors because of the standard approach where mod_ssl
# sends the close notify alert.
## ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation works
# correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
SSLOptions +StdEnvVars
</Directory>
## SSL Protocol Adjustments:
# The safe and default but still SSL/TLS standard compliant shutdown
# approach is that mod_ssl sends the close notify alert but doesn't wait
# for the close notify alert from client. When you need a different
# shutdown approach you can use one of the following variables:
## ssl-unclean-shutdown:
# This forces an unclean shutdown when the connection is closed, i.e. no
# SSL close notify alert is send or allowed to received. This violates the
# SSL/TLS standard but is needed for some brain-dead browsers. Use this when
# you receive I/O errors because of the standard approach where mod_ssl
# sends the close notify alert.
## ssl-accurate-shutdown:
# This forces an accurate shutdown when the connection is closed, i.e. a
# SSL close notify alert is send and mod_ssl waits for the close notify
# alert of the client. This is 100% SSL/TLS standard compliant, but in
# practice often causes hanging connections with brain-dead browsers. Use
# this only for browsers where you know that their SSL implementation works
# correctly.
# Notice: Most problems of broken clients are also related to the HTTP
# keep-alive facility, so you usually additionally want to disable
# keep-alive for those clients, too. Use variable "nokeepalive" for this.
# Similarly, one has to force some clients to use HTTP/1.0 to workaround
# their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
# "force-response-1.0" for this.
<IfModule setenvif_module>
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</IfModule>
## Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a compact
# non-error SSL logfile on a virtual host basis.
<IfModule log_config_module>
CustomLog /var/log/apache2/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</IfModule>
</VirtualHost>
</IfModule>
#</IfDefine>
</IfDefine>
# vim: ts=4 filetype=apache
Изменить 3: вывод apache2 -S
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
[Thu Oct 25 11:02:02 2012] [warn] _default_ VirtualHost overlap on port 80, the first has precedence
VirtualHost configuration:
wildcard NameVirtualHosts and _default_ servers:
*:80 domain1.edu (/etc/apache2/vhosts.d/10_domain1.edu.conf:38)
*:80 domain2.edu (/etc/apache2/vhosts.d/10_domain2.edu.conf:38)
*:80 domain3.edu (/etc/apache2/vhosts.d/10_domain3.edu.conf:38)
*:80 domain4.edu (/etc/apache2/vhosts.d/10_domain4.edu.conf:38)
*:80 domain5.edu (/etc/apache2/vhosts.d/10_domain5.edu.conf:38)
*:80 domain6.edu (/etc/apache2/vhosts.d/10_domain6.edu.conf:38)
*:80 domain7.edu (/etc/apache2/vhosts.d/10_domain7.edu.conf:38)
*:80 domain8.edu (/etc/apache2/vhosts.d/10_domain8.edu.conf:38)
*:80 domain9.edu (/etc/apache2/vhosts.d/10_domain9.edu.conf:38)
*:80 domain10.edu (/etc/apache2/vhosts.d/10_domain10.edu.conf:38)
*:80 domain11.edu (/etc/apache2/vhosts.d/10_domain11.edu.conf:38)
Syntax OK
У меня нет проблем с доступом к каким-либо сайтам, только ошибки SSL
У вас нет настроенных хостов SSL; убедитесь, что файл конфигурации ssl действительно включен в основную конфигурацию.
Вам также необходимо определить NameVirtualHost *:80 вне каких-либо vhosts, или все запросы будут идти к первому, как сообщает вывод.