Как проверить доступность SNI (указание имени сервера) в apache?
У меня есть сервер centos 7. Я перешел с apache 2.4.6 на apache 2.4. 25 с использованием репозитория IUS ( https://ius.io/ ). Моя цель - поддерживать несколько сертификатов SSL с одним IP.
Я установил:
- Apache / 2.4.25 (CentOS)
- httpd24u-mod_ssl-2.4.25-3.ius.centos7.x86_64
- openssl-1.0.1e-60.el7_3.1.x86_64
Включен ли теперь SNI apache?
Или мне нужно создать его с нуля с помощью ./configure --with-ssl = / path / to / your / openssl, как в документации ( https://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI )?
Спасибо за ваше время.
Стандартные пакеты CentOS httpd и mod_ssl уже поддерживали SNI. SNI поддерживается openssl начиная с версии 0.9.8f, а любой httpd, начиная с версии 2.2.12, построенный с openssl 0.9.8f и новее, автоматически поддерживает SNI.
Но чтобы проверить, поддерживают ли ваши httpd и mod_ssl SNI:
Просто проверьте, настроив виртуальные хосты SSL / TLS на основе имени, и проверьте журнал ошибок после перезапуска (из apache httpd wiki , которую вы уже связали to):
Как узнать, поддерживает ли ваша сборка Apache SNI?
Если вы настраиваете несколько виртуальных хостов на основе имен для адреса, на котором настроен SSL, а SNI не встроен в ваш Apache, тогда на Apache запускается сообщение типа
« Вы не должны использовать виртуальные хосты на основе имен вместе с SSL !! »
появится в журнале ошибок.
Если SNI встроен, то в журнале ошибок будет отображаться« [предупреждение] Инициализация: виртуальные хосты SSL на основе имени работают только для клиентов с поддержкой индикации имени сервера TLS (RFC 4366) ».
В качестве альтернативы используйте ldd , чтобы подтвердить, что mod_ssl связан с libssl openssl, и подтвердите версию:
ldd /usr/lib64/httpd/modules/mod_ssl.so
linux-vdso.so.1 => (0x00007fff323f8000)
libssl.so.10 => /lib64/libssl.so.10 (0x00007f3d99792000) <=======
libcrypto.so.10 => /lib64/libcrypto.so.10 (0x00007f3d993a8000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f3d9918b000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f3d98f87000)
libc.so.6 => /lib64/libc.so.6 (0x00007f3d98bc6000)
libgssapi_krb5.so.2 => /lib64/libgssapi_krb5.so.2 (0x00007f3d98977000)
libkrb5.so.3 => /lib64/libkrb5.so.3 (0x00007f3d98690000)
libcom_err.so.2 => /lib64/libcom_err.so.2 (0x00007f3d9848c000)
libk5crypto.so.3 => /lib64/libk5crypto.so.3 (0x00007f3d98259000)
libz.so.1 => /lib64/libz.so.1 (0x00007f3d98043000)
/lib64/ld-linux-x86-64.so.2 (0x00007f3d99c3d000)
libkrb5support.so.0 => /lib64/libkrb5support.so.0 (0x00007f3d97e34000)
libkeyutils.so.1 => /lib64/libkeyutils.so.1 (0x00007f3d97c2f000)
libresolv.so.2 => /lib64/libresolv.so.2 (0x00007f3d97a15000)
libselinux.so.1 => /lib64/libselinux.so.1 (0x00007f3d977ed000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f3d9758c000)
rpm -qf /lib64/libssl.so.10
openssl-libs-1.0.1e-60.el7_3.1.x86_64