В подготовке предупреждений, которые собираются запустить показ в браузерах при посещении сайтов SSL с SHA1, подписал сертификаты, я хотел получить все сертификаты, которые я обновил.
Часть моей инфраструктуры работает на CentOS 5 "прежней версии". X основанных серверов. И на тех серверах, когда я устанавливаю новые ключи и сертификаты, апач просто умирает на запуске. В error_log нет ничего полезного.
Теперь, DigiCert имеет страницу совместимости, которая говорит, что для апача, следующие оборотные стороны требуются.
httpd 2.0.63 + w/OpenSSL 0.9.8o +
на CentOS 5. X-сервер, с теми пакетами, полностью обновленными, обновил, я вижу это...
httpd.x86_64 2.2.3-91.el5.centos
openssl.x86_64 0.9.8e-27.el5_10.4
Так сразу я думаю, что 0.9.8e могла бы быть проблема. Но я сделал немного рытья, чтобы видеть, были ли связанные с SHA изменения, представленные в 0.9.8o восходящего потока openssl проект, бэкпортированы RH, и ДЕЙСТВИТЕЛЬНО выглядит, как будто SHA256 имел отношение, изменения фиксировались в одном из бэкпортов RHEL/CentOS.
Я посмотрел в мерзавце repo для openssl и нашел то, что похоже на SHA 2 связанное изменение в 0.9.8o
Commit Hash: bc06baca76534abc2048a3ac4d109b144da4b706
Add SHA2 algorithms to SSL_library_init(). Although these aren't used
directly by SSL/TLS SHA2 certificates are becoming more common and
applications that only call SSL_library_init() and not
OpenSSL_add_all_alrgorithms() will fail when verifying certificates.
И в CentOS/RHEL openssl pacakge я вижу это в журнале изменений...
rpm -q --changelog openssl
* Wed Mar 09 2011 Tomas Mraz <t----z@redhat.com> 0.9.8e-18
- add SHA-2 hashes in SSL_library_init() (#676384)
Так, мне кажется, как будто у меня должны быть нужные версии httpd, и openssl (с бэкпортированной фиксацией) для обработки SHA-2 подписал сертификаты.
Так мои вопросы. Я пропускаю что-то? Есть ли некоторая другая апачская неверная конфигурация, которая могла вызывать катастрофический отказ при запуске с этим сертификатом на месте?
Если я ДОЛЖЕН загрузить более новую версию openssl 0.9.8X и выйти на улицу из конфетки, я могу сделать это, но я хочу избежать этого, если это возможно.
Отвечая на мой собственный вопрос...
Да, CentOS 5 DOES поддерживает SHA256 подписанные сертификаты. Чистая ВМ работает просто отлично, должна быть проблема с конфигурацией apache.
В error_log нет ничего полезного...
Взгляните поближе на свой ssl_error_log нет ничего полезного в том, что касается остановок apache из-за ssl в error_log. По умолчанию apache использует ssl_error_log...
Я подозреваю :), что вы обнаружите некоторую проблему с конфигурацией apache.
.