SSL på Apache

Det skal lige nævnes at jeg har allerede checket http://www.apache.org og der er 2 muligheder - Apache SSL og mod_ssl. Så vidt jeg har forstået er Apache SSL en selvstændig webserver og det er jeg ikke interesseret i. Jeg vil meget gerne have det ind som en Virtual Host under den eksisterende Apache.

/CoRex

Nogenlunde samme diskussion er her:
http://www.eksperten.dk/spm/222953

Det står en step by step prosedyre for oppsett av SSL / Apache i boken Red Hat Linux Security and Optimization fra Red Hat press samt også litt om prinsipper rundt. Kunne eventuelt skrive av eller event oversette til "halvt dansk". Blir det event for vildt !?

nej kom bare !!!!

Findes det evt. på nettet ???

Nei ikke det som står i boken men her er noe annet:
http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/index.html
http://www.tldp.org/HOWTO/SSL-RedHat-HOWTO.html
Det som står i boken er mer en kokebokprosedyre, men den fyller da også litt.

Vil fosøke å få tid til å lage et lite resyme fra boken om det som står om ssl. Legger det i så fall ut på web med link hit. Boken inneholder både forklaringer på virkemåte og prosedyre for installasjon. (Vil ikke påstå at jeg i øyeblikket har hele oversikten.)

Jeg fandt ud af det !!!!!!!!!!!!!!!! Hold kæft hvor er det fedt !!!  ;)

Jeg har noteret det på nedenstående side, gad ikke sætte det pænt op!!! Klokken er mange ! :)))

Vend lige tilbage hvis der mangler noget, eller noget skal justeres !!!!

http://www.baekkegaard.dk/apache-mod_ssl.txt

Min løsning er godt nok med apache2. Løsningen med apache 1.3.22-2 kan du finde på www.gnuskole.dk. Siden er lidt forældet, men fungerer ok til at hente hjælp/inspiration fra !!  :)

Har gaat gjennom innholdet i Red Hat boken, men jeg maa da tilstaa at dette var et noe mer omfattende og koplisert tema enn det jeg hadde tenkt meg. Er bortreist naa men vil forsoeke aa legge ut noe naar jeg kommer hjem. Synes vi boer diskutere videre hva ssl egentlig er og hvordan det fungerer og hva det egentlig kan brukes til. Bare et forslag. Ikke sikker paa at jeg har forstaat det selv helt 100 % men med litt felles "web based" diskusjon og innsats saa finner vi kanskje ut av det ??!!

Fra corex:
"Så vidt jeg har forstået er Apache SSL en selvstændig webserver og det er jeg ikke interesseret i."

Tror ikke det er slik. ssl er en tillegsmodul slik at man baade kan kjoere orfinaer web server og ssl paa den samme.

Forstaar det ogsaa slik at man enten kan aktivisere ssl globalt for hele web serveren eller "lokalt" for en virtual host.

Er dette rett ??

Naar det gjelder problemstillingen rundt sertifikatene, saa vil det "normale" vaere aa kjoepe et kommersielt sertifikat (eller krypreingsnoekkel for det er det som det dreier seg om krypterte transaksjoner) fra en kommersiell leverandoer av slike krypteringssertifikater. Alernativt saa oppretter man seg selv som lokal autoritet til utstedelse av krypteringsnoekler, men da med en redusret grad av sikkerhet som resultat.

Eksempel paa bruk av ssl. Bilettbestilling fra SAS. Det som er sikret gjennom et kommersiellt krypteringssertifikat og ssl er selve dialogen mellom den som bestiller og web stedet til SAS:
https://ibp2.scandinavian.net/planandbook/searchAvailView.asp?MKT=NO&

SSL gir saan sett ingen som helst beskyttelse eller oekt sikkerhet for webstedet eller web serveren selv.

Jeg er kommet frem til at mod_ssl og Apache ssl er 2 forskellige ting.

se evt. http://www.apache-ssl.org/#mod_ssl

Det med certifikaterne:
Jeg ved ikke om jeg tager fejl, men: Når man går ind på en side, hvor dataene, mellem klienten -og serveren, skulle være krypteret, så kommer der i IE nederst en lås på, hvor der står at det er en "sikker forbindelse (SSL 128 bit)". Det samme kommer der godt nok også frem, hos min egen konfigurerede https: server. Forskellen er bare "troværdigheden" af certifikatet, som serveren bruger.

Men jeg ved ikke om "låsen" i IE, bare kommer frem fordi at man har angivet "https://" i adresselinjen, eller om der virkelig foregår en kryptering ??

Ingen tvivl om, at certifikat der er udstedt af en kommerciel udbyder, kan man godt nogenlunde regne med, at udgiveren af certifikatet, er den han udgiver sig for at være, modsat et certifikat der er udstedt af sig selv, til sig selv.

Det er et virkeligt omfattende emne "ssl", og er med på en gang web-debat.

bierchen -> Foeler meg litt halvdum fordi jeg ikke kan faa proevd tingene akkurat naa, men i boken min saa staar det som foelger:

Apache doesen't include an SSL module in the default distribution, but you can enable SSL for Apache by using the Apache-SSL source patch. The Apache-SSL sourche patch kit can be downloaded fro www.apache-ssl.org. The Apache-SSL source kit turns Apache into a SSL server based on either SSLeay or OpenSSL."

Hva ligger egentlig i dette "turns Apache into a SSL server" ? Vil dette si at Apache baade kan kjoere kryptert https/ssl forbindelse og ordinaer http forbindelse, eller ligger det i dette at den bare kan kjoere ssl kryptert forbindelse ? (Jeg ville tro og gjette paa at den kan begge deler. Har du testet ?)

Ellers saa forstaar jeg problemstillingen Apache-ssl og mod-ssl at dette er to forskjellige programmoduler som utad fungerer noenlunde likt (finner ikke mod-ssl beskrevet i boken.)

Naar det gjelder problemstillingen kommersielle eller private sertifikater:
Forstaar det slik at ssl slik som det i praksis brukes foerst og fremst fungerer som en sikring av at serveren virkelig er den den gir seg ut for. Desuten saa krypteres ogsaa den interaktive dialogen i forhold til klienten. Dersom man benyter sertifikater som man har laget selv, saa ville jeg for eksempel kunne opprette en fiktiv web adresse for eksempel sas-tickets.com Ved at SAS benytter en ekstern kommersiell referanse for sine ssl sertifikater saa vil i prinsipp et falskt web sted bli avsloert ved at den eksterne sertifikatreferansen mangler. Den kommersielle sertifikat utstederen fungerer paa denne maaten som en ekstern garantist for at web serveren er den som den gir seg ut for aa vaere.

Tenker aa sette opp en egen web server spesielt for uttesting av ssl, men foreloepig: bierchen -> faar du https og vanlig http til aa kjoere ved siden av hverandre paa samme server eller er det bare det ene eller bare det annet ??

Naar det gjelder hengelaasen - ville tro at dette betyr at krypteringsfunksjonen kjoerer og at data mellom klient og server i prinsipp ikke skal kunne tappes. Paa den annen side saa har man veil i prinsipp ikke noen garanti for at server er den som den gir seg ut for saa lenge man ikke har koplet opp mot en ekstern referanse i forhold til dette. (Komersielt sertifikat.)

Her er adressen til to kommersielle leverandoerer av ssl sertifikater. Vet ikke om det kan staa noe paa disse web stedene som kan kaste litt mere lys over saken:
http://www.verisign.com/
http://www.thawte.com/

Det ser ut til aa staa en hel del paa disse web sidene, bla dette:
http://www.verisign.com/freeguides/index.html

Hovedprinsipper for bruk av SSL i forbindelse med Apache web server:

1. SSL er en egen protokoll akkurat som TCP. Den kan kjoere ovenpaa andre protokoller.

2. Grunnprinsippet for SSL er kryptering, dvs at data under transport mellom maskiner er paa et "uleselig" format.

3. For aa ivareta krypteringen benyttes et "krypteringssertifikat" eller en "krypteringsnoekkel" (det samme) Denne noekkelen kan enten genereres lokalt gjennom "manuelle operasjoner" eller kommandoer paa serveren eller den kan kjoepes fra en kommersiell leverandoer. Ved anvendelse av en slik ekstern referanse oppnaas en hoeyere grad av sikkerhet fordi den eksterne referansen vil staa som garantist for at serveren er den som den gir seg ut for aa vaere.

4. SSL protokoll kan brukes i forbindelse med web server og den brukes da typisk til aa sikre transaksjoner mellom klient og server. Den kan ogsaa soerge for verifisering (bekreftelse) paa at serveren er den som den gir seg ut for aa vaere. SSL kan ogsaa brukes i andre sammenhenger for eksempel til kryptering av E-Mail.

Med "transaksjon" saa menes en serie med dataoverfoeringer der man enten oensker gjennomfoert samtlige eller ingen. Typiske eksempler paa transaksjoner er overfoeringer mellom bankkontoer og bestillinger av flybiletter. (Man oensker typisk ikke gjennomfoert halvparten av en kontooverfoering eller halvparten av en billettbestilling.)

SSL har ingen mekanisme for aa sikre transaksjonen selv (selve sekvensen av hendelser), men den kan gi sikkerhet for at serveren er den som den gir seg ut for aa vaere og at data ikke "snappes opp" paa veien av andre.

5. OpenSSL er en system modul for Linux som gir Linux muligheten til aa benytte SSL protokoll (Det finnes ogsaa kommersielle alternativer til OpenSSL).

6. I tillegg til OpenSSL maa ogsaa installeres / kompileres / patches inn en tillegsmodul til Apache serveren. Dette kan vaere "Apache-SSL" (Det finnes ogsaa andre).

7. I forbindelse med SSL benyttes 2 typer kryptering:

a. Symetrisk kryptering der man benytter samme krypteringsnoekkel for data overfoering begge veier.

b. Asymetrisk kryptering der man benytter en "public key" og en "private key". Public key sendes over Internet. Private key sendes aldri, den beholdes lokalt.

8. Den foerste delen av en SSL forbindelse skjer basert paa asymetrisk kryptering. Naar denne komunikasjonen foerst basert paa asymetrisk kryptering er etablert saa utveksles nye krypteringsnoekkler.

Forbindelsen gaa saa over til aa kjoere paa basis av et prinsipp om symetrisk kryptering, dvs like krypteringsnoekler i begge ender. Dette kjoerer hurtigst og best.

<Kommer tilbake med installasjonsprosedyrer og slikt.>

Fra det opprinnelige spoersmaalet: "Samtidig har jeg heller ikke forståelsen af hvad RSA/DSA-nøgler "

RSA er et begrep som brukes mange steder i forbindelse med krypteringsnoeklene. Se ogsaa:
http://kmself.home.netcom.com/Linux/FAQs/sshrsakey.html

Finner ikke DSA beskrevet noen steder annet enn som Debian Security Advisory. (Og det har jo ikke noe med "sertifikat" aa gjoere.)

Feil i siste avsnitt over her staar det bade om RSA og DSA sertifikater:
http://www.redhat.com/docs/manuals/linux/RHL-7.3-Manual/custom-guide/s1-openssh-client-config.html
(Tviler paa at dette er detaljer man behoever for aa forstaa SSL. Det staar hverken beskrevet i REd Hat sin web beskrivelse av SSL eller i Red Hat sin bok.
RSA/DSA ser ut til aa ha noe med SSH aa gjoere ikke SSL)

Prosedyre / Framgangsmaate for installasjon av OpenSSL paa REd Hat 7.2 server:

Formaal - AA gjoere Red Hat 7.2 i stand til aa kommunisere SSL protokoll.

1. OpenSSL foelger med som rpm pakke paa Red HAt installasjons CD. Kan installeres vha kommando "rpm -ivh openssl-pakkenavn.rpm ("pakkenavn" skiftes ut med virkelig pakkenavn.)

Prosedyre / framgangsmaate for installasjon av server sertifikat der serveren selv settes som Certificate Authority (CA) ("Full installasjon" ikke bare midlertidig loesning.):

1. Last ned ssl.ca-versjon.tar.gz fra http://www.openssl.org/contrib/

2. Ekstrakte filen til det directory du maate oenske. Det opprettes et subdirectory ved navn ssl.ca-versjon. Du vil finne et anntall sh script i dette directory.

3. Kjoer new-root-ca.sh script for aa opprette et self-sined root sertifikat for din private server. Du vil bli spurt om en passord frase. Denne frasen vil behoeves for aa signere framtidige sertifikater.

4. Opprett server sertifikat: Kjoer new.server-cert.sh www.domain.com script for aa oprette serverens private og public keys.

5. Signere server sertifikatet: Kjoer sign.server-cert.sh script for aa godkjenne og signere server sertifikatet du opprettet ved aa bruke new.server-cert.sh scriptet.

Prosedyre / framgangsmaate for aa installere Apache-SSL patcher.
(Mulig mod-ssl kan gi en enklere loesning, har ikke faat kikket paa dette.):

Formaal: AA gjoere Apache i stand til aa benytte SSL protokoll.

Forberedelse:

1. Kontroller at OpenSSL er installert i directory /usr/local/ssl

2. Ekstrakte Apache source tree i directory
/usr/src/redhat/SOURCES/apache_x.y.zz

Gjennomfoering:

1. su til root

2. Skift directory til Apache source distribution
/usr/src/redhat/SOURCES/apache_x.y.zz

3. Kopier Apache-SSL pach kit (apache_x.y.zz+ssl_x.y.tar.gz) i det directory du naa staar i og ekstrakte denne ved aa kjoere kommando:
tar xvzf apache_x.y.zz+ssl_x.y.tar.gz

4. Kjoer: patch -p1 < SSLpatch slik at source filen patches.

5. Skift directory til src og editer filen Configuration.tmpl. Den skal ha lagt til foelgende linjer:

SSL_BASE=/usr/local/ssl
SSL_APP_DIR=$(SSL+BASE)/bin
SSL_APP=/usr/local/ssl/bin/openssl

6. Skift directory tilbake til src ved aa kjoere cd ..

7. Kjoer kommando ./configure --prefix=/usr/local/apache

8. Kjoer make og make install for aa kompilere og installere Apache.

Prosedyre /framgangsmaate for aa konfigurere Apache for SSL:

Forberedelse:

Da du kjoerte make install i forbindelse med kompilering og installering av Apache-ssl patcher saa ble en fil laget: httpsd.conf. Rename denne til httpd.conf. Du kan for eksempel kjoere kommando:
mv /usr/local/apache/conf/httpsd.conf /usr/local/apache/conf/httpd.conf

Gjennomfoering:

1. Skift port directiveet til aa bli "Port 443"

2. Legg til linjer for generering av random data:
SSLRandomFile file /dev/urandom 1024
SSLRandomFilePerConnection file /dev/urandom 1024

3. Dersom du oensker aa rejecte (nekte) alle requester unntatt secure requests, legg inn det foelgende direktivet:
SSLReqireSSL

4. For aa enable SSL service, legg til det foelgende direktivet:
SSLEnable

5. Som default saa opprettes cache server for SSL-enabled Apache i directory src/modules/ssl. Sett dette directory slik:
SSLCacheServerPath /path/til/apache_x.y.zz/src/modules/ssl/gcache

6. Legg til det foelgende for aa enable cache server port og cache timeout verdier:
SSLCacheServerPort logs/gcache_port
SSLSessionCacheTimeout 15

7. Fortell Apache hvor du har lagt sertifikat filen:

SSL_CertificateFile /usr/local/ssl/certs (Eller skal det vaere /usr/local/ssl/certs/httpsd.pem litt usikker paa dette.)

8. Sett de foelgende direktivene slik som vist og lagre httpd.conf filen:

SSLVerifyClient 3
SSLVerifyDepth 10
SSLFakeBasicAuth
SSLBanCipher NULL-MD5:NULL-SHA

I boken foelger saa et tips:

For aa enable en virtual host ved navn myvhost.domain.com paa port 443, bruk foelgende konfigurasjon:

Listen 443
<Virtualhost myvhost.domain.com:443>
  SSLEnable
  SSLCertificateFile /path/til/myvhost.cerificate.cert
</Virtualhost>

Testing av SSL connection:

Hvis du har installert Apache i /usr/local/apache directory, kjoer
/usr/local/apache/bin/httpsdctl start commando for aa starte den ssl enablede Apache server.

Serveren vil gi en warning som sier at sertifikatet ikke kan bekreftes.

Dette er normalt fordi du har utstedt sertifikatet selv.

Du skal saa kunne browse din ssl enablede web site.

Fra: http://www.apache-ssl.org/


I want to run secure and non-secure servers on the same machine. Is that possible?

There are two ways to do this: run two server daemons, or run both services from the same daemon. Unless there is a good reason to run two (like using a different product for secure/non-secure), it's usually simplest to run a single daemon and disable SSL on those virtual hosts that don't need it. If you wish to run two daemons you must make sure that they each only try to bind to their alloted ports (normally port 80 for non-secure and 443 for secure). If you wish to run a single daemon, here's an example config file showing how you might do it.

Man skal altsaa kunne kjoere baade ssl og ordinaer web server samtidig paa den samme web server. Er ikke 100 % sikker paa om dette gjelder baade for Apache-SSL og mod-SSL. Ville tro det.

Noen som tar brydderiet med aa teste ut og eventuelt legge ut noen kommentarer ?? Vil forsoeke aa teste ut og rette eventuell feil / legge det hele med kommentarer ut paa en web side naar jeg har tid og mulighet.

Forsoek dette - Gaa inn pa siden:

https://ibp2.scandinavian.net/planandbook/searchAvailView.asp?MKT=NO&

Nede paa siden er en hengelaas som viser at det dreier seg om en ssl forbindelse. Dobbeltklikk paa hengelaasen. Det kommer opp informasjon om hvem som er sertifikatusteder og en del andre ting. (I dette tilfellet verisign.)

Woah. Jeg har været lidt væk. Det er første gang jeg ser dette svar. Det er laaaaaangt. :)

Jeg har ikke tid til at se på det lige nu, da jeg pludselig er blevet hevet ind i nogle andre projekter, men jeg ser på det lige så snart jeg har tid.

Jeg fordeler points lige imellem jer. Jeg stoler på at det virker.

bierchen>Gider du lige at lave et svar så du kan komme med på point-uddelingen.

/CoRex

Jeps her er svaret !!!

Det kan være jeg rykker lidt rundt på min Webserver, og at linket så derfor ikke passer. Hvis dette er tilfældet kan du lige maile mig på bjorn@baekkegaard.dk

Tak for hjælpen, i to! :)

/CoRex

Takker for points ! Syntes det var greit uansett aa faa samlet den tilgjengelige info om ssl faktisk i en forkortet form paa ett sted. Risikoen er vel til stede for at det kan finnes skrivefeil eller eventuelle missforstaaelser. Jeg vil forsoeke aa kjoere gjennom tingene litt senere og korigere for eventuelle feil.

Jeg takker også for pointene !!!!