Apache+mod_ssl, 가상 호스트 설정시 인증서 문제가 생깁니다.
글쓴이: 사랑천사 / 작성시간: 금, 2007/08/10 - 10:30오전
우선 Apache는 1.3.37이고 인증서와 키는 자체적으로 CA를 설정하여 그 CA에서 발급 했습니다. 가상호스트 설정을 했는데 ca.lecl.net, lys.lecl.net가 돌아가고 잇고요.
문제가 되는 부분은 lys.lecl.net로 들어가도 ca.lecl.net의 인증서가 나라옵니다.(물론 HTTPS로 접속합니다.)
일단 httpd.conf와 관련 설정 부분만 아래에 첨부 하겠습니다.
LoadModule vhost_alias_module libexec/mod_vhost_alias.so
LoadModule info_module libexec/mod_info.so
LoadModule digest_auth_module libexec/mod_auth_digest.so
LoadModule usertrack_module libexec/mod_usertrack.so
LoadModule unique_id_module libexec/mod_unique_id.so
LoadModule php4_module libexec/libphp4.so
ClearModuleList
AddModule mod_vhost_alias.c
AddModule mod_env.c
AddModule mod_log_config.c
AddModule mod_mime_magic.c
AddModule mod_mime.c
AddModule mod_negotiation.c
AddModule mod_status.c
AddModule mod_info.c
AddModule mod_include.c
AddModule mod_autoindex.c
AddModule mod_dir.c
AddModule mod_cgi.c
AddModule mod_asis.c
AddModule mod_imap.c
AddModule mod_actions.c
AddModule mod_userdir.c
AddModule mod_alias.c
AddModule mod_rewrite.c
AddModule mod_access.c
AddModule mod_auth.c
AddModule mod_digest.c
AddModule mod_auth_digest.c
AddModule mod_headers.c
AddModule mod_usertrack.c
AddModule mod_unique_id.c
AddModule mod_so.c
AddModule mod_setenvif.c
<IfDefine SSL>
AddModule mod_ssl.c
</IfDefine>
AddModule mod_php4.c
Port 8888
<IfDefine SSL>
Listen 8888
Listen 443
</IfDefine>
User apache
Group apache
ServerAdmin <a href="mailto:yeosong@gmail.com" rel="nofollow">yeosong@gmail.com</a>
ServerName lecl.net
DocumentRoot "/data/otherweb"
<IfModule mod_dir.c>
DirectoryIndex index.php index.php3 index.php4 index.html index.htm
</IfModule>
UseCanonicalName On
NameVirtualHost *:8888
include "/usr/LECL/apache/etc/vhs.d/*"
<IfDefine SSL>
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
</IfDefine>
<IfModule mod_ssl.c>
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/usr/LECL/apache/var/run/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/LECL/apache/var/run/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /usr/LECL/apache/var/log/ssl_engine_log
SSLLogLevel info
</IfModule>
<IfModule mod_ssl.c>
<VirtualHost *:8888>
SSLEngine off
</VirtualHost>
NameVirtualHost *:443
<VirtualHost *:443>
DocumentRoot /data/website/CA
ServerName ca.lecl.net
ServerAdmin <a href="mailto:yeosong@gmail.com" rel="nofollow">yeosong@gmail.com</a>
ErrorLog var/log/ssl-error_logs
TransferLog var/log/ssl-access_logs
<Directory "/data/website/CA">
Options Indexes FollowSymLinks ExecCGI MultiViews
AllowOverride AuthConfig FileInfo
Order allow,deny
Allow from all
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile etc/ssl/ca.lecl.net.crt
SSLCertificateKeyFile etc/ssl/ca.lecl.net.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
RewriteEngine On
RewriteOptions inherit
</VirtualHost>
</IfModule>
<VirtualHost *:443>
DocumentRoot /data/website/yeosong
ServerName lys.lecl.net
ServerAdmin <a href="mailto:yeosong@gmail.com" rel="nofollow">yeosong@gmail.com</a>
ErrorLog var/log/lys.lecl.net_error.log
TransferLog var/log/lys.lecl.net_access.log
<Directory "/data/website/yeosong">
Options Indexes FollowSymLinks ExecCGI MultiViews
AllowOverride AuthConfig FileInfo
Order allow,deny
Allow from all
</Directory>
<Directory "/data/website/yeosong/blog">
Options FollowSymLinks
AllowOverride FileInfo
</Directory>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile etc/ssl/lys.lecl.net.crt
SSLCertificateKeyFile etc/ssl/lys.lecl.net.key
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
CustomLog var/log/lys.lecl.net_error.log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>모든 설정 파일에서 기본적인 부분과 SSL관련 (특히 VirtualHost부분)하여 고대로 복사 해서 넣엇습니다.(주석은 지웠습니다.)
lys.lecl.net의 내용 자체는 잘 출력이 됩니다.
그리고 한가지 더, Rewrite가 작동을 안 하는 건지 무슨 문제가 잇는 건지 Tattertools를 설치 할 수가 없더군요. ca.lecl.net, lys.lecl.net 모두 문제가잇습니다. ca.lecl.net는 원래 CA운영을 위해 만든 사이트이기 때문에 Tattertools를 설치 하면 안 되지만 실험을 위해서 해 보았는데 문제가 생기더군요.
실제로 Rewrite가 작동 하지 않는 것인가는 모르겠고, Tattertools만 그 부분에서 걸리네요.(즉 SSL로 동작하는 사이트에서만 그런다는 거죠.)
이 부분도 해결을 할 수 잇으면 좋겠는데, 방법을 모르겠습니다.
둘 중 하나라도 해결이 되면 참 좋겠는데 힘드네요.
Forums:
멀티 인증서가
멀티 인증서가 아니면 아마 포트를 다르게 하셔야 할겁니다.
사용하지 않는 포트대역을 정하신 다음에 각 도메인 별로 포트는 다르게 주셔야 합니다.
먹고 죽자~
KISA에서 관련 자료를
KISA에서 관련 자료를 찾아 조사 해 본 결과, 답변 주신 말씀과 같은 결론을 얻었습니다. 헌데, 멀티 도매인 인증서는 어덯게 발급 하는 거죠? OpenSSL로 하는 방법을 모르겟네요. 좀 더 OpenSSL을 연구 해 봐야 겠습니다.
혹시 아시는 분 계시면 좀 주세요. OpenSSL에서 멀티 도매인 인증서를 만드는 방법을..
----
Lee Yeosong(이여송 사도요한)
E-Mail: yeosong@gmail.com
Blog: http://blog.lecl.net:8888/lanet/
Wiki(Read-Only): http://yeosong.lecl.net:8888/wiki/
MSN: ysnglee2000@hotmail.com
----
웃음... 행복... 평화... (진정한...) 희망... 사랑... 이 세상 모든것이 그렇다면 얼마나 좋을까...(꿈 속의
사람천사
COmmonName를 여러 개
COmmonName를 여러 개 할당 가능하도록 openssl.cnf를 수정 하여 해결 했습니다.
이런 식으로 햇습니다.
그래서 멀티 도메인으로 먹엿는데.. 문제는.. 역시 Rewrite는 안 먹히는 군요. Tattertools의 문제인 것인지, 아니면 다른 문제가 잇는 것인지 모르겠찌만, 안 되네요.
----
Lee Yeosong(이여송 사도요한)
E-Mail: yeosong@gmail.com
Blog: http://blog.lecl.net:8888/lanet/
Wiki(Read-Only): http://yeosong.lecl.net:8888/wiki/
MSN: ysnglee2000@hotmail.com
----
웃음... 행복... 평화... (진정한...) 희망... 사랑... 이 세상 모든것이 그렇다면 얼마나 좋을까...(꿈 속의
사람천사
댓글 달기