OpenSSL
Дока про работу с SSL - можно проверять в том числе возможности сервера.
В частности
# openssl ciphers -v |grep -i TLS #
И это дебиан 6.0.3! Впрочем, он отличается тормознутостью, сравнимой с даунизмом. Зато (типа) безопасный!
Вообще, в openssl с поддержкой TLS всё печально. Так что можно сразу переходить на gnutls.
Для этого придется править конфиги всех доменов с SSL. Универсальный метод - описать оба варианта сразу, например
<ifmodule mod_ssl.c>
SSLEngine on
SSLCertificateFile /var/www/site.ru/ssl/certs/site.ru.pem
SSLCertificateKeyFile /var/www/site.ru/ssl/ppk/site.ru.key
SSLCertificateChainFile /var/www/site.ru/ssl/ca/comodo-ca.crt
</IfModule>
<ifmodule mod_gnutls.c>
GnuTLSEnable on
GnuTLSCertificateFile /var/www/site.ru/ssl/certs/site.ru.pem
GnuTLSKeyFile /var/www/site.ru/ssl/ppk/site.ru.key
GnuTLSClientCAFile /var/www/site.ru/ssl/ca/comodo-ca.crt
GnuTLSPriorities NORMAL
</IfModule>
Замечания: без GnuTLSPriorities не запустится.
SSLCertificateChainFile будет называться GnuTLSClientCAFile, также можно попробовать добавить chain certificate в конец основного, или обновить системный ca-bundle.crt (отсюда). Надо проверять!
Тут есть нюанс с nginx:
"if you have a chain of certificates — by having intermediate certificates between the server certificate and the CA root certificate — they're not specified separately like you would do for Apache. Instead you'll need to concatenate all the certificates, starting with the server certificate, and going deeper in the chain running through all the intermediate certificates. This can be done with "cat chain.crt >> mysite.com.crt" on the command line."
http://wiki.nginx.org/HttpSslModule
То есть (наш домен) (корневой сертификат) >> итоговый файл
немного линков
SSL-enabled Name-based Apache Virtual Hosts with mod_gnutls
Apache HTTP Server: Обслуживание нескольких HTTPS-хостов на одном IP-адресе
Apache2/SSL and Name Based Virtual Hosts
it's really informative resource about SSL certificates. Thanks for sharing with US!
ОтветитьУдалитьCheap SSL | RapidSSL