Re: apache-ssl ?

To: debian-user-polish@lists.debian.org
Subject: Re: apache-ssl ?
From: Marcin Sochacki <wanted@gnu.univ.gda.pl>
Date: Wed, 23 Oct 2002 18:39:34 +0200
Message-id: <20021023183933.B1894@gnu.univ.gda.pl>
Mail-followup-to: debian-user-polish@lists.debian.org
In-reply-to: <F29U6xfPTeip68V8zDv00000251@hotmail.com>; from basianowak@hotmail.com on Wed, Oct 23, 2002 at 04:53:32PM +0200
References: <F29U6xfPTeip68V8zDv00000251@hotmail.com>

On Wed, Oct 23, 2002 at 04:53:32PM +0200, Basia Nowak wrote:
> Witam
> 
> Mam taki problem... niby wiem jak go rozwiazac a nie wiem...
> Moze lepszy bedzie do tego apache-ssl, a moze zwykly z mod-ssl ..
> 
> otoz: jest sobie domenka: aaa.pl i domena wirtualna xxx.pl
> teraz certyfikat jest podpisany na aaa.pl.
> Wlasciciel xxx.pl chce miec by jeden katalog byl szyfrowany sslem..
> Jak to zrobic?? Chce ograniczyc liczbe ip wpisywanych na serwer dlatego 
> chcialabym zrobic to na jednym. Tylko jak?
> 
> Moze ktos zna jakas literature albo jakies rozwiazanie..
> 
> Zastanawialam sie nad utworzeniem np: ssl.aaa.pl i tak podpisac certyfikat a 
> potem utworzyc link do katalogu klienta, jednak nie wiem czy tak jest dobrze 
> bo moze wywazam otwarte drzwi..

O ile wiem mod_ssl jest lepszy, bardziej popularny niż apache-ssl.
W Apache 2.0 jest mod_ssl standardowo. Tak, ze pierwsze zdanie jest
chyba nie ma miejscu.

Co do certyfikatu, to zalezy przez kogo jest on podpisany. Jesli przez
oficjalne CA (Thawte, Versign), to jest o co walczyc, bo juz raz ktos
za to zaplacil i zmiana domeny nie jest mozliwa (bez doplaty).
W takim przypadku pozostaje Ci tylko metoda 1 (nizej).

Jesli natomiast to certyfikat self-signed, to oczywiscie mozesz
sobie pozwolic na mieszanie, bo tak czy inaczej przegladarka bedzie
wyswietlac ostrzezenie.
W tym wypadku masz do wyboru 2 podejscia.

1) umiescic zabezpieczone strony gdzies pod domena aaa.pl
   Pliki fizycznie moga siedziec w katalogu nalezacym do xxx.pl,
   a w sekcji dotyczacej SSL-owego VHosta dodasz go poprzez:
   Alias /katalog /var/www/xxx.pl/katalog

   Z punktu widzenia ogladacza tej strony bedzie natomiast troche
   nieeleganckie przelaczanie sie na inna domene niz xxx.pl.

2) uzyc certyfikatu wygenerowanego dla domeny aaa.pl do serwowania
   stron z xxx.pl (https://xxx.pl/katalog/). Zadziala, poniewaz to jest
   na jednym IP i nie musisz w zasadzie nic dodawac do konfiga.
   Przegladarka bedzie wyswietlala dodatkowe ostrzezenie o niezgodnosci nazw
   ale przejdzie. IE wszystko zalatwia w jednym okienku, w Netscapie
   jest to dodatkowy krok w tzw. wizardzie.

Ja optowalbym za 1), mozesz jeszcze dodatkowo wymusic automatycznie
wchodzenie na dany katalog tylko przez SSL poprzez umiejetne
Rewrite'y (mod_rewrite).

Wanted

-- 
Windows 2000: A reliable comprehensive and integrated operating system
              platform delivering seamless interoperability, scalability,
              and performance, and broad application support.
Open Source:  No f*ing buzzwords.

Reply to:

References:
- apache-ssl ?
  - From: "Basia Nowak" <basianowak@hotmail.com>

Prev by Date: Re: NNTP
Next by Date: Lista dyskusyjna
Previous by thread: apache-ssl ?
Next by thread: Lista dyskusyjna
Index(es):
- Date
- Thread