Sunucu yapılandırmasına dahil edilmemiş bir modül tarafından yanlış yazılmış veya tanımlanmış geçersiz 'SSLOpenSSLConfCmd' komutu


10

Diğer tüm yöneticiler gibi ben de Logjam düzeltmesi ile çalışıyorum .

Apache 2.4.12'ye geçtim ve centos 6.6 kutumda 1.0.2a'yı açtım.

Apache'yi başlattığımda, şu hata mesajının döndüğünü görüyorum:

Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration

İşte apache derleme bilgilerim:

Server version: Apache/2.4.12 (Unix)
Server built:   Jun  8 2015 22:04:38
Server's Module Magic Number: 20120211:41
Server loaded:  APR 1.4.5, APR-UTIL 1.3.12
Compiled using: APR 1.4.5, APR-UTIL 1.3.12
Architecture:   64-bit
Server MPM:     worker
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/opt/installs/apache/2_4_12"
 -D SUEXEC_BIN="/opt/installs/apache/2_4_12/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"    

mod_ssl httpd.conf dosyamda bulunur:

LoadModule ssl_module modules/mod_ssl.so

Neyi kaçırıyorum?


1
Weakdh.org/sysadmin sitesi etti (bu yazının yazıldığı gibi yaşamaya devam) yazım hataları / yanlışlıklar önce: serverfault.com/questions/706014/...
austinian

Yanıtlar:


3

SSLOpenSSLConfCmd httpd 2.4.8 sonradan kullanılabilir.

Bununla birlikte, burada iyi açıklandığı gibi önceki sürümlerde kendi DH parametrelerinizi oluşturabilir ve kullanabilirsiniz :

Apre ile LibreSSL veya Apache 2.4.7 ve OpenSSL 0.9.8a veya sonraki bir sürümünü kullanıyorsanız, daha önce oluşturduğunuz DHparams'ı sertifika dosyanızın sonuna ekleyebilirsiniz. Bunun için belgeler burada ve aşağıdadır:

SSLCertificateFile kullanılarak yapılandırılan ilk dosyanın sonuna özel DH parametreleri ve geçici anahtarlar için bir EC eğrisi adı da eklenebilir. Bu, 2.4.7 veya sonraki sürümlerde desteklenir. Bu parametreler openssl dhparam ve openssl ecparam komutları kullanılarak üretilebilir. Parametreler ilk sertifika dosyasının sonuna olduğu gibi eklenebilir. Kimlik doğrulama algoritması türünden bağımsız olarak uygulandıkları için özel parametreler için yalnızca ilk dosya kullanılabilir.

Sertifika dosyanıza dhparams.pem dosyasını eklemek için cat komutunu kullanmanız yeterlidir:

cat dhparams.pem >> cert.pem

0

Apache dokümanı başına - Kullanılabilir SSLOpenSSLConfCmdkomutlar kümesi, kullanılan OpenSSL sürümüne (gereksinim) bağlıdır mod_ssl(en azından sürüm 1.0.2 gereklidir). Desteklenen komut adlarının listesi için OpenSSL için SSL_CONF_cmd (3) kılavuz sayfasındaki Desteklenen yapılandırma dosyası komutları bölümüne bakın .

Kullandığınız komutları doğrulayın SSLOpenSSLConfCmd


'SSLOpenSSLConfCmd' komutuna hiçbir yerde openssl.org'un belgelerinde herhangi bir referans bulamadım.
ryanlraines

httpd.conf veya özel conf dosyanızda ( conf.d
chetangb

0

SSLOpenSSLConfCmd yönergesi, OpenSSL 1.0.2 veya sonraki bir sürümü kullanılıyorsa httpd 2.4.8 (yayınlanmamıştır) ve sonraki sürümlerinde kullanılabilir.

Apache 2.4.8 (yayınlanmadı) ile yapılan değişiklikler ... mod_ssl: SSLOpenSSLConfCmd yönergesini sunarak OpenSSL yapılandırma komutları için destek ekleyin. [Stephen Henson, Kaspar Markası] ...

APR oluştur

# ./configure --host=x86_64-redhat-linux-gnu --build=x86_64-redhat-linux-gnu --prefix=/opt/apr-1.5.2 --with-devrandom=/dev/urandom

APR-UTIL Oluştur

# ./configure --prefix=/opt/apr-util-1.5.4 --with-ldap --with-crypto --with-openssl=/opt/openssl-1.0.2a --with-apr=/opt/apr-1.5.2

Apache Oluşturun

# ./configure --prefix=/opt/httpd-2.4.12 --enable-mpms-shared=all --with-pcre --enable-mods-shared=all --enable-ssl --with-ssl=/opt/openssl-1.0.2a --with-apr=/opt/apr-1.5.2 --with-apr-util=/opt/apr-util-1.5.4 --enable-session-crypto
...
configure:
  setting INCLUDES to "-I."
  adding "-I$(top_srcdir)/os/$(OS_DIR)" to INCLUDES
  adding "-I$(top_srcdir)/include" to INCLUDES
  adding "-I/opt/apr-1.5.2/include/apr-1" to INCLUDES
  adding "-I/opt/apr-util-1.5.4/include/apr-1" to INCLUDES
  adding "-I/opt/openssl-1.0.2a/include" to INCLUDES
...

Mod_ssl.so öğesini kontrol edin

# ldd mod_ssl.so | grep ssl
        libssl.so.1.0.0 => /opt/openssl-1.0.2a/lib/libssl.so.1.0.0 (0x00007f6f3c6bd000)
        libcrypto.so.1.0.0 => /opt/openssl-1.0.2a/lib/libcrypto.so.1.0.0 (0x00007f6f3c287000)

# strings mod_ssl.so | grep SSLOpenSSLConfCmd
SSLOpenSSLConfCmd
AH02407: "SSLOpenSSLConfCmd %s %s" failed for %s
AH02556: "SSLOpenSSLConfCmd %s %s" applied to %s

Apache ayarlarını kontrol edin

# ./httpd -v
Server version: Apache/2.4.12 (Unix)
Server built:   Mar 27 2016 16:29:30

# ./httpd -V
Server version: Apache/2.4.12 (Unix)
Server built:   Mar 27 2016 16:29:30
Server's Module Magic Number: 20120211:41
Server loaded:  APR 1.5.2, APR-UTIL 1.5.4
Compiled using: APR 1.5.2, APR-UTIL 1.5.4
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/opt/httpd-2.4.12"
 -D SUEXEC_BIN="/opt/httpd-2.4.12/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

# /opt/httpd-2.4.12/bin/apachectl -t
Syntax OK

Sanal ana bilgisayar ayarları

# conf/extra/httpd-ssl.conf
Listen 443
SSLOpenSSLConfCmd DHParameters /etc/pki/httpd/dhparams_2048.pem
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2
SSLHonorCipherOrder on
SSLPassPhraseDialog  builtin
SSLSessionCache "shmcb:/opt/httpd-2.4.12/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLProtocol All -SSLv2 -SSLv3

<VirtualHost _default_:443>

   DocumentRoot "/opt/httpd-2.4.12/htdocs"
   ServerName ssllabs.example.com:443
   ServerAdmin webmaster@example.com
   ErrorLog "/opt/httpd-2.4.12/logs/error_log"
   TransferLog "/opt/httpd-2.4.12/logs/access_log"

   SSLEngine on
   SSLCertificateFile /etc/pki/httpd/server.pem
   SSLCertificateKeyFile /etc/pki/httpd/server.key

   <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
   </FilesMatch>
   <Directory "/opt/httpd-2.4.12/cgi-bin">
       SSLOptions +StdEnvVars
   </Directory>

   BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
   CustomLog "/opt/httpd-2.4.12/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

Test sonucu

resim açıklamasını buraya girin

resim açıklamasını buraya girin

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.