Книга: Сетевые средства Linux
Установка компонентов Apache, предназначенных для поддержки SSL
Установка компонентов Apache, предназначенных для поддержки SSL
Считается, что поддержка SSL в сервере Apache осуществляется за счет дополнительных модулей. На практике для установки SSL-модулей необходимо внести некоторые изменения в структуру сервера и повторно скомпилировать Apache. В некоторых инсталляционных пакетах SSL-модули включены по умолчанию, и код сервера скомпилирован с учетом использования SSL-компонентов. Если вы попытаетесь объединить компоненты обычного сервера Apache и пакета, сформированного для обеспечения поддержки SSL, такой сервер скорее всего работать не будет.
Во многих случаях для управления сервером, созданным с учетом поддержки SSL, используется конфигурационный файл, отличный от файла, применяемого для настройки обычного сервера Apache. Например, в системе Debian сервер Apache, настроенный для поддержки SSL, использует конфигурационный файл /etc/apache-ssl
, в то время как для стандартной конфигурации Apache в этой системе применяется файл /etc/apache
. Конфигурационные файлы для SSL-серверов во многом совпадают с файлами для Apache без поддержки SSL, за исключением некоторых директив, значения которых вам, возможно, придется изменить. Часть этих директив описана ниже.
• ServerType
. Сервер с поддержкой SSL не может запускаться посредством суперсервера, поэтому для директивы ServerType
должно быть установлено значение standalone
.
• Использование портов. Для взаимодействия по протоколу SSL используется порт 443. При этом необходимо учитывать, что директива Listen
позволяет связать сервер с определенным номером порта.
• Загрузка модулей. В качестве значений директив LoadModule
и AddModule
могут быть указаны один или несколько модулей, имеющих отношение к поддержке SSL. Как правило, в конфигурационном файле, сформированном по умолчанию, значения этих директив установлены корректно.
• SSLRequireSSL
. Включив данную директиву в состав <Directory>
, вы запретите доступ к каталогу для клиентов, не поддерживающих SSL. (Значения данной директивы не указываются.) Использование SSLRequireSSL
позволяет предотвратить передачу важных данных по незащищенному каналу. Очевидно, что, помимо данной опции, следует применять и другие средства, ограничивающие доступ к каталогу.
• SSLEnable
. Директива SSLEnable
разрешает использование протокола SSL при обмене данными. Подобно SSLRequireSSL
, значения для данной директивы не предусмотрены.
• SSLCACertificatePath
. Эта директива указывает на каталог, содержащий сертификат. Например, в качестве значения SSLCACertificatePath
может быть указано /etc/apache-ssl
.
• SSLCertificateFile
. В качестве значения данной директивы указывается файл, содержащий сертификат (например, /etc/apache-SSI/apache.pem
).
Помимо указанных выше, для управления SSL-взаимодействием могут использоваться и другие директивы. Информацию о них можно получить, просмотрев комментарии в составе конфигурационного файла либо обратившись к документации на сервер Apache или к книгам по данной теме.
Установив конфигурацию сервера, вы можете запускать его для поддержки SSL-взаимодействия. Чтобы обратиться к серверу, надо ввести в поле адреса броузера URL, начинающийся символами https://
. Если вы самостоятельно сгенерировали сертификат, броузер отобразит предупреждающее сообщение, подобное тому, которое показано на рис. 20.2. Чтобы протестировать создаваемый вами узел, вы можете принять этот сертификат (некоторые броузеры позволяют задать условия дальнейшего использования сертификата).
Внимание
Работая в Internet, не следует принимать сертификаты, созданные администраторами Web-узлов. Если сервер использует сертификат, выданный сертифицирующей организацией, броузер не отображает предупреждающее сообщение. Если же подобное сообщение появилось на экране, это означает, что при использовании сертификата была допущена ошибка (например, сервер продолжает работать с сертификатом, срок действия которого истек) либо администратор вовсе не обращался к сертифицирующей организации. Появление предупреждающего сообщения также может означать, что злоумышленник пытается представить свой узел как узел официальной организации и собрать с его помощью важные данные.
- Расширенная установка InterBase-сервера
- Установка системы на уже подготовленный жесткий диск
- Загрузка модулей Apache
- Установка файлов занятий
- 2 Установка системы
- Глава 4. Установка и конфигурирование сетевых интерфесов
- 2.2. Классификация банковских рисков и их компонентов
- Переименование компонентов
- Часть III Установка, настройка и оптимизация операционной системы
- Демонтаж и установка МП
- Установка
- Установка пароля