Mit diesem Verfahren wird die sichere Software Apache HTTP Server Version 1.3 unter Verwendung von mod_ssl konfiguriert. Weitere Informationen finden Sie in der installierten Apache-Online-Dokumentation unter file:///usr/apache/htdocs/manual/index.html.html, auf der Apache HTTP Server-Website unter http://httpd.apache.org/docs/1.3/ sowie der Apache mod_ssl-Website unter http://www.modssl.org/docs/.
Verwenden Sie das cconsole-Master-Fenster für den Zugriff auf beide Knoten.
Die nächsten Schritte können Sie auf beiden Knoten gleichzeitig durchführen.
Installieren Sie alle Zertifikate und Schlüssel.
Erstellen Sie im Verzeichnis /usr/apache/bin die Datei keypass.
Lassen Sie in den Dateiberechtigungen nur den Eigentümerzugriff zu.
phys-X# cd /usr/apache/bin phys-X# touch keypass phys-X# chmod 700 keypass |
Ändern Sie die Datei keypass so, dass sie die Passphrase für den verschlüsselten Schlüssel druckt, der einem Host und einem Port entspricht.
Diese Datei wird mit den Argumenten server:port algorithm aufgerufen. Stellen Sie sicher, dass die Datei bei einem Aufruf mit den korrekten Parametern die Passphrase für jeden einzelnen Ihrer verschlüsselten Schlüssel drucken kann.
Wenn Sie später versuchen, den Webserver manuell zu starten, dürfen Sie keine Eingabeaufforderung für eine Passphrase erhalten. Zum Beispiel könnte ein sicherer Webserver die Ports 8080 und 8888 abhören mit privaten Schlüsseln für beide Ports, die mit RSA verschlüsselt wurden. Die Datei keypass könnte folgendermaßen aussehen:
# !/bin/ksh host=`echo $1 | cut -d: -f1` port=`echo $1 | cut -d: -f2` algorithm=$2 if [ "$host" = "apache-lh.example.com" -a "$algorithm" = "RSA" ]; then case "$port" in 8080) echo passphrase-for-8080;; 8888) echo passphrase-for-8888;; esac fi |
Aktualisieren Sie die Pfade in der Apache-Start/Stop-Skriptdatei /usr/apache/bin/apachect1, falls diese von Ihrer Apache-Verzeichnisstruktur abweichen.
Überprüfen Sie Ihre Konfigurationsänderungen.
Prüfen Sie die Datei /etc/apache/httpd.conf auf die korrekte Syntax.
phys-X# /usr/apache/bin/apachectl configtest |
Stellen Sie sicher, dass alle logischen Hostnamen oder gemeinsam genutzten Adressen, die von Apache verwendet werden, konfiguriert und online sind.
Starten Sie auf phys-sun den Apache-Server.
phys-sun# /usr/apache/bin/apachectl startssl |
Stellen Sie sicher, dass Sie vom Webserver nicht zur Eingabe einer Passphrase aufgefordert werden.
Falls Apache nicht korrekt gestartet wird, beheben Sie das Problem.
Stoppen Sie auf phys-sun den Apache-Server.
phys-sun# /usr/apache/bin/apachectl stopssl |