Mit diesem Verfahren wird die sichere Software Apache HTTP Server Version 1.3 mit mod_ssl konfiguriert. Weitere Informationen finden Sie in der installierten Online-Dokumentation von Apache unter file:///usr/apache/htdocs/manual/index.html.html, auf der Apache HTTP Server-Website unter http://httpd.apache.org/docs/1.3/ und auf der Apache mod_ssl-Website unter http://www.modssl.org/docs/.
Greifen Sie im cconsole-Master-Fenster auf beide Knoten zu.
Die nächsten Schritte können Sie auf beiden Knoten gleichzeitig durchführen.
Installieren Sie alle Zertifikate und Schlüssel.
Erstellen Sie im Verzeichnis /usr/apache/bin die Datei keypass.
Legen Sie nur Dateiberechtigungen für den Benutzerzugriff fest.
phys-X# cd /usr/apache/bin phys-X# touch keypass phys-X# chmod 700 keypass |
Bearbeiten Sie die Datei keypass, sodass sie die Passphrase für den verschlüsselten Schlüssel ausgibt, der einem Host und einem Anschluss entspricht.
Diese Datei wird mit server:port algorithm als Argumente aufgerufen. Stellen Sie sicher, dass die Datei die Passphrase für jeden Ihrer verschlüsselten Schlüssel ausgeben kann, wenn sie mit den richtigen Parametern aufgerufen wird.
Wenn Sie später versuchen, den Webserver manuell zu starten, darf keine Eingabeaufforderung für die Passphrase erfolgen. Angenommen, ein sicherer Webserver ist beispielsweise an den Anschlüssen 8080 und 8888 empfangsbereit mit privaten Schlüsseln für beide Anschlüsse, die mit RAS verschlüsselt sind. Die Datei keypass könnte wie folgt lauten:
# !/bin/ksh host=`echo $1 | cut -d: -f1` port=`echo $1 | cut -d: -f2` algorithm=$2 if [ "$host" = "apache-lh.example.com" -a "$algorithm" = "RSA" ]; then case "$port" in 8080) echo passphrase-for-8080;; 8888) echo passphrase-for-8888;; esac fi |
Aktualisieren Sie die Pfade in der Apache start/stop-Skriptdatei, /usr/apache/bin/apachect1, wenn sie sich von Ihrer Apache-Verzeichnisstruktur unterscheiden.
Überprüfen Sie Ihre Konfigurationsänderungen.
Prüfen Sie die Datei /etc/apache/httpd.conf auf korrekte Syntax.
phys-X# /usr/apache/bin/apachectl configtest |
Stellen Sie sicher, dass alle logischen Hostnamen oder gemeinsamen Adressen, die Apache verwendet, konfiguriert und online sind.
Starten Sie den Apache-Server auf phys-sun.
phys-sun# /usr/apache/bin/apachectl startssl |
Stellen Sie sicher, dass der Webserver Sie nicht nach einer Passphrase fragt.
Wenn Apache nicht ordnungsgemäß startet, beheben Sie das Problem.
Halten Sie den Apache-Server auf phys-sun an.
phys-sun# /usr/apache/bin/apachectl stopssl |