Apache 2.2.3 / mod_ssl / CentOS 5.5 VPS
Sertifikamızın süresi 2011-10-06'da dolmuştu ve yenisini doğru bir şekilde yüklemiş olsak da , siteye göz atmak hala süresi dolmuş bir sertifika gösteriyor! Tarayıcı önbelleğimi silmeyi ve birkaç farklı tarayıcı kullanmayı denedim. Ssl.conf dosyasından ilgili satırlar (bu açıklamaları hariç tuttum.):
Listen 127.0.0.1:443
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
# Note - I tried disabling SSLSessionCache with the "none" setting but it didn't help.
<VirtualHost 127.0.0.1:443>
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.crt
SSLCertificateKeyFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.key
SSLCertificateChainFile /var/certs/gentlemanjoe.com/new2011/gd_bundle.crt
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
ServerAdmin webmaster@donotemailme.com
DocumentRoot /var/www/gentlemanjoe.com
ServerName gentlemanjoe.com
<Directory /var/www/gentlemanjoe.com>
AllowOverride All
Order deny,allow
allow from all
</Directory>
</VirtualHost>
Kontrol Ettiğim Şeyler
İlk önce Apache'nin onları bir şekilde yakalamadığından emin olmak için eski sertifikayı ve anahtar dosyalarını tamamen farklı bir klasöre taşımayı denedim. Hiçbirşey değişmedi. Eğlenmek için geçici olarak yeni sertifika ve anahtar dosyaları yeniden adlandırmayı denedim ve Apache şiddetle şikayet etmeyi ve başlamayı reddetti.
Sonra yanlış yapılandırma dosyasını düzenleyerek aldanmamayı sağlamaya çalıştım. "Locate" kullanarak /etc/httpd/conf/httpd.conf altında yalnızca bir httpd.conf dosyası buldum. Ayrıca, yalnızca bir ssl.conf dosyası olan /etc/httpd/conf.d/ssl.conf olduğunu doğrulamak için "locate" komutunu kullandım. Anahtar dosya, GoDaddy'nin CSR oluşturmak için verdiği talimatları izleyerek OpenSSL kullanarak oluşturduğum şey.
/Var/www/gentlemanjoe.com klasörüne bir test.html dosyası yükleyip bu dosyaya göz atabildiğimi doğrulayarak doğru siteyle çalıştığımı doğruladım. Ancak, test dosyasını HTTPS'de görüntülemeye çalışırsam, aynı sertifika sona erme uyarısını alırım.
Sertifikanın kendisinin doğru son kullanma tarihine sahip olduğunu doğruladım:
openssl x509 -in /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.crt -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
07:e7:49:69:97:96:16
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure Certification Authority/serialNumber=07969287
Validity
Not Before: Oct 21 17:37:55 2011 GMT
Not After : Oct 8 21:16:03 2013 GMT
Subject: C=CA, ST=BC, L=Burnaby, O=Diamond Bailey Consolidated Commercial Services Ltd, OU= , CN=www.gentlemanjoe.com
GoDaddy'deki sertifikayı yeni bir CSR ile yeniden girmeyi denedim ve her şey işe yarıyor gibi görünüyor, ancak tarayıcıda aynı sonucu alıyorum.
Olası İpucu # 1
Ne zaman "apachectl restart" yapmak, bunu error_log dosyasında görüyorum:
[Fri Oct 21 18:03:33 2011] [notice] SIGHUP received. Attempting to restart
[Fri Oct 21 18:03:33 2011] [notice] Digest: generating secret for digest authentication ...
[Fri Oct 21 18:03:33 2011] [notice] Digest: done
[Fri Oct 21 18:03:33 2011] [info] APR LDAP: Built with OpenLDAP LDAP SDK
[Fri Oct 21 18:03:33 2011] [info] LDAP: SSL support available
[Fri Oct 21 18:03:33 2011] [info] Init: Seeding PRNG with 256 bytes of entropy
[Fri Oct 21 18:03:33 2011] [info] Init: Generating temporary RSA private keys (512/1024 bits)
[Fri Oct 21 18:03:33 2011] [info] Init: Generating temporary DH parameters (512/1024 bits)
[Fri Oct 21 18:03:33 2011] [info] Shared memory session cache initialised
[Fri Oct 21 18:03:33 2011] [info] Init: Initializing (virtual) servers for SSL
[Fri Oct 21 18:03:33 2011] [warn] RSA server certificate CommonName (CN) `www.gentlemanjoe.com' does NOT match server name!?
[Fri Oct 21 18:03:33 2011] [info] Server: Apache/2.2.3, Interface: mod_ssl/2.2.3, Library: OpenSSL/0.9.8e-fips-rhel5
[Fri Oct 21 18:03:34 2011] [notice] Apache/2.2.3 (CentOS) configured -- resuming normal operations
[Fri Oct 21 18:03:34 2011] [info] Server built: Aug 30 2010 12:28:40
GoDaddy teknikleri bana www-www olmayanların önemli olmaması gerektiğini söylüyor ve kabul ediyorum, çünkü tarayıcımdaki güvenlik uyarısı bir sunucu adı uyuşmazlığından şikayet etmiyor , aksine eski sertifikanın hala devam ettiğini gösteren bir süre sonu bir şekilde yükleniyor.
Olası İpucu # 2
HTTP Sunucusu yanıt başlığını http://gentlemanjoe.com ziyade "Apache" den "Andromeda" diyor. "Andromeda" adlı Google çalışanım bu sunucuya yüklenmeyecek bir medya sunucusu türü projeyi ortaya çıkardığı için bu bana garip geliyor (ama bunu kesin olarak ayarlayamadığım için bunu kesinlikle söyleyemem , her zamanki yönetici / geliştirici tatilde ve ben sadece onun arkadaşı ile bir site yardım ediyorum.) Ayrıca, httpd.conf dosya "tükürmek için değiştirilmedi olmadığını belirten" Andromeda "dizesini içermiyor. Bu yüzden kullandığı Magento e-ticaret platformu olabilir, ancak standart Apache yanıt başlığını değiştirmenin anlamı ne olurdu?