현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

[완료]아파치 mod_ssl 사용시 여러개 인증서 사용할수 있나요?

gamza의 이미지
글쓴이: gamza / 작성시간: 월, 2009/01/19 - 12:00오후

안녕하세요.
아파치의 mod_ssl을 사용해서 여러개의 virtual host에 서비스 하고 싶은데, 제대로 안되고 있습니다.
아래처럼 설정을 했을때, 여러개의 인증서를 등록해도 무조건 첫번째 등록한 것(11.crt만)의 인증서가 로드됩니다.

VirtualHost 192.168.0.10:443 에 등록.
ServerName 192.168.0.11
ProxyTproxy On
ProxyRequests Off
ProxyPass / http:// 192.168.0.11/
ProxyPassReverse / http:// 192.168.0.11/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/11.crt
SSLCertificateKeyFile /home/orchid/http/11.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
</VirtualHost>
 
VirtualHost 192.168.0.10:444 에 등록
ServerName 192.168.0.12
ProxyTproxy On
ProxyRequests Off
ProxyPass / http:// 192.168.0.12/
ProxyPassReverse / http:// 192.168.0.12/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/12.crt
SSLCertificateKeyFile /home/orchid/http/12.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
</VirtualHost>

혹시 원래 하나의 인증서만 로드되는지.. 아니면 여러개의 인증서를 등록했을때는 다른 방법이 있는지.. 궁급합니다. 도와주세요.

Forums: 
설치 및 활용 QnA
송효진의 이미지

글쓴이: 송효진 / 작성시간: 월, 2009/01/19 - 1:58오후

한포트당 하나의 인증서만 됩니다.
그래서 멀티도메인 인증서가 따로 있지요.

그냥 두번째 인증서를 Listen 442 정도로 세팅하시면 됩니다.

ps. 음... ip 가 다르다면 방법이 있을것 같기도 하네요.
아파치만으로 안된다면 iptables 까지 동원하면 가능해질것도 같습니다.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

https://xenosi.de/

monovision의 이미지

글쓴이: monovision / 작성시간: 월, 2009/01/19 - 2:13오후

각각의 virtual host 마다 인증서를 각각 등록할 수 있지 않나요 ?
예전의 기억으로는 그랬던 것 같은데요...

송효진의 이미지

글쓴이: 송효진 / 작성시간: 월, 2009/01/19 - 2:27오후

문법적 오류는 안나지만 맨 처음에 나오는 인증서가 동작합니다.
ssl 특성상 443 포트에 접근하는것 자체가 인증을 통해야 하기 때문에,
인증 후 나오는 HOST 헤더로 구분할 방법이 없죠.

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

https://xenosi.de/

gamza의 이미지

글쓴이: gamza / 작성시간: 월, 2009/01/19 - 2:37오후

현재 상태가 프록시 서버입니다. 프록시에 두개의 SSL 사이트를 아래 443,444 포트로 등록했습니다.
VirtualHost 192.168.0.10:443
VirtualHost 192.168.0.10:444

그런데, 이것이 어떻게 된것인지 무조건 첫번째에 써준 443번 포트랑 연결한 인증서가 444번으로 들어가도 나온다는것입니다.

하나의 인증서만 로드되는 현상이 있는데, 이런경우 어떻게 해야 할지 모르겠습니다.

송효진의 이미지

글쓴이: 송효진 / 작성시간: 월, 2009/01/19 - 2:48오후

음...저는

NameVirtualHost *:443
Listen 443

<VirtualHost *:443>

이런식으로 모든곳에 포트번호를 함께 적어줍니다.
그런 차이도 있지 않을까요?

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

https://xenosi.de/

gamza의 이미지

글쓴이: gamza / 작성시간: 월, 2009/01/19 - 3:06오후

제가 자세하게 올리지 않은듯합니다.
말씀하신대로 모든곳에 포트번호를 함께 적어놨었습니다.
그래도 여전히 하나의 인증서만이 로드되더라구요.

제가 자세하게 안올렸나봅니다.
아래와 같이 올렸습니다.
( '<' 이 안먹어서 '('으로 우선 올림)

Quote:

Listen 192.168.0.10:443
Listen 192.168.0.10:444

NameVirtualHost 192.168.0.10:443
NameVirtualHost 192.168.0.10:444

( VirtualHost 192.168.0.10:443 )
ServerName 192.168.0.11
ProxyTproxy On
ProxyRequests Off
ProxyPass / http://192.168.0.11/
ProxyPassReverse / http://192.168.0.11/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/0.crt
SSLCertificateKeyFile /home/orchid/http/0.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
(/VirtualHost )

( VirtualHost 192.168.0.10:444 )
ServerName 192.168.0.12
ProxyTproxy On
ProxyRequests Off
ProxyPass / http://192.168.0.12/
ProxyPassReverse / http://192.168.0.12/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/5.crt
SSLCertificateKeyFile /home/orchid/http/5.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
(/VirtualHost)

송효진의 이미지

글쓴이: 송효진 / 작성시간: 월, 2009/01/19 - 3:15오후

두번째를 완전히 따로 두번째로 하세요.
순서도 중요합니다.

NameVirtualHost 1
Listen 1
VirtualHost 1

NameVirtualHost 2
Listen 2
VirtualHost 2

emerge money
http://wiki.kldp.org/wiki.php/GentooInstallSimple - 명령어도 몇개 안되요~
http://xenosi.de/

https://xenosi.de/

wkpark의 이미지

글쓴이: wkpark / 작성시간: 월, 2009/01/19 - 7:46오후

mod_ssl.c 소스를 보면 디렉토리별 옵션을 지원합니다.

...
    ssl_config_perdir_create,   /* create per-dir    config structures */
    ssl_config_perdir_merge,    /* merge  per-dir    config structures */
...

이것은 디렉토리별 설정을 mod_ssl가 지원한다는 것이 됩니다.

정확히 말하면, 옵션의 설명에 Context속성에 directory가 있으면 디렉토리 설정이 가능하다는 것입니다. (아래 참조)
----

메뉴얼을 찾아보니

http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslcertificatekeyfile

SSLCertificateKeyFile는

Description: Server PEM-encoded Private Key file
Syntax: SSLCertificateKeyFile file-path
Context: server config, virtual host
Status: Extension
Module: mod_ssl

SSLCertificateKeyFile, SSLCertificateFile는 디렉토리별 config를 지원 안하는 듯 하네요.
그러나 Context에 "virtual host"라고 되어 있는 것으로 보아서는 virtual host별 설정을 지원하는 것이군요.

온갖 참된 삶은 만남이다 --Martin Buber

gamza의 이미지

글쓴이: gamza / 작성시간: 월, 2009/01/19 - 7:30오후

감사합니다. 이것저것 테스트 하다가 제가 설정을 잘못한것을 알았습니다.
원래 기존 테스트에서 같은 IP에 SSL 두개 통신이 있고,
프럭시 서버가 중간에서 있는것이었는데, ServerName에 IP만 써줬더니 안되었었습니다.
즉, 아래처럼 ServerName이 같은것을 포트를 명시하지 않고 써줬더니 제일처음에 나온 인증서만 로드하는 상황이 되었던 것입니다.
그래서
ServerName 192.168.0.11:443
ServerName 192.168.0.11:444
이렇게 ServerName에 포트를 명시하니 제대로 되네요..^^
답변해주신 분들 감사합니다.

Quote:
Listen 192.168.0.10:443
Listen 192.168.0.10:444

NameVirtualHost 192.168.0.10:443
NameVirtualHost 192.168.0.10:444

( VirtualHost 192.168.0.10:443 )
ServerName 192.168.0.11 ----> ServerName 192.168.0.11:443
ProxyTproxy On
ProxyRequests Off
ProxyPass / http://192.168.0.11:443/
ProxyPassReverse / http://192.168.0.11:443/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/0.crt
SSLCertificateKeyFile /home/orchid/http/0.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
(/VirtualHost )

( VirtualHost 192.168.0.10:444 )
ServerName 192.168.0.11 --> ServerName 192.168.0.11:444
ProxyTproxy On
ProxyRequests Off
ProxyPass / http://192.168.0.11:444/
ProxyPassReverse / http://192.168.0.11:444/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/5.crt
SSLCertificateKeyFile /home/orchid/http/5.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt
(/VirtualHost)

용수철의 이미지

글쓴이: 용수철 / 작성시간: 토, 2009/07/11 - 7:03오후

conf파일 내용중에

VirtualHost 192.168.0.10:443 에 등록.
ServerName 192.168.0.11
ProxyTproxy On <<------ 요게 뭔가요? 뭐하는 역할인가요.
ProxyRequests Off
ProxyPass / http:// 192.168.0.11/
ProxyPassReverse / http:// 192.168.0.11/
ProxyPreserveHost On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /home/orchid/http/11.crt
SSLCertificateKeyFile /home/orchid/http/11.key
#SSLCertificateChainFile /home/orchid/http/chain_3.crt

궁금해서 물어봅니다^^

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.