问题标签 [mod-ssl]

I have two domains, example1.com and example2.com, running on the same IP, 12.345.678.90.

Now I want to completely dissable https access via 12.345.678.90.

I tried to do this (compact code without fancy stuff)

Now when I dissable the first block that catches all by default, the two example site work. However, if I enable it, nothing works anymore. Actually, this is just the port 80 solution copied for 443. It seems to be a SSL specific problem (encoded request data).

How can I block "IP access" over https? Or, what is the commonly used way to configure my setup?

Background is: It is not even standardized to create IP-based SSL-certificates, so it makes no sense to allow this kind of request.

I'm trying to secure my server's vhosts. I installed LE/Certbot fine, and had no issues. I installed/upgraded any dependencies to get certbot to work, again they ran fine.

mod_ssl is installed and loaded. I ran phpinfo(), and in the LoadedModules section, I see mod_ssl.

However, in my vhosts file, when I use

That specific site <VirtualHost></VirtualHost> block is ignored (i.e. I can't access site defined in VirtualHost block) UNLESS I remove/comment out the ` wrapper.

httpd version:

I can't find much online, so I'm a little stuck. I'm worried there's something more sinister that's going to catch me out if I don't figure out why.

Any help would be much appreciated!

Cheers

我想在 Apache 中使用反向代理在 AWS APIGateway URL 前面。原因是由于需要静态 IP 来在严格的防火墙后面提供服务的过程，并且当前的基础架构已经安装了 mod_proxy。我希望实施的解决方案是简单地通过 mod_proxy 路由 https->https(apiGateway)。

但是.. AWS 使用 SNI，我无法让 mod_proxy 握手。

我启用了以下设置

以下日志在调试模式下可用

如果我使用 openssl 连接，我可以演示类似的错误

为 SNI 添加 -servername 会导致有效连接

因此，我认为 mod_proxy 和 mod_ssl 没有将服务器名发送到远程 https 服务器，这可能是一个错误。

我正在运行带有服务器版本的 Ubuntu 14.04：Apache/2.4.7 (Ubuntu) 服务器构建时间：2017 年 9 月 18 日 16:37:54 OpenSSL 1.0.1f 2014 年 1 月 6 日

我也尝试将其限制SSLProxyProtocol为 TLS1_2 和密码列表，但是无论如何 sslv3 警报握手失败日志仍然存在。

有没有人遇到过这种情况并知道如何确保发送 SNI 值，或者这是 Apache 模块中的限制？

所以我们必须在网页上使用 TLS1.1，但目前正在运行 OpenSSL0.9.8za。所以必须将 OpenSSL 升级到至少 1.0.2。

操作系统 MacOS 10.12.6 Sierra。
阿帕奇版本 2.2.34

我使用安装文件中的快速方法安装了 OpenSSL：./config -> make -> make test -> make install 并且安装时没有看到任何问题。

但是，当我尝试使用以下命令构建新的 mod_ssl.so 时：

在没有 -D HAVE_OPENSSL=1 的情况下出现了许多错误，但有了它我收到 2 个警告：

mod_ssl.c:275:5：警告：不推荐使用“ERR_remove_state”

mod_ssl.c:302:5：警告：函数“CRYPTO_malloc_init”的隐式声明在 C99 [-Wimplicit-function-declaration] 中无效

但它会在 /usr/local/apache2/modules/mod_ssl.so 中创建一个 mod_ssl.so 它应该在的位置。但是当我启动服务器时，我收到以下错误消息：

httpd：/usr/local/apache2/conf/httpd.conf 第 97 行的语法错误：无法将 /usr/local/apache2/modules/mod_ssl.so 加载到服务器中：dlopen(/usr/local/apache2/modules/mod_ssl .so, 10): Symbol not found: _ssl_cmd_SSLCACertificateFile\n 引用自：/usr/local/apache2/modules/mod_ssl.so\n 预期在：flat namespace\n in /usr/local/apache2/modules/mod_ssl.so

第 97 行是加载命令：

LoadModule ssl_module 模块/mod_ssl.so

旧的 mod_ssl.so 大小为 335K，现在构建的大小为 26K。我不知道这是否意味着什么。

我尝试使用直接从下载的 OpenSSL 文件夹中包含的内容构建 mod_ssl.so，结果相同。

我已经在网上浏览了 2 天，但找不到任何解决方案。任何想法我做错了什么？

- - 编辑 - -

我试过了：

这是路径应该是什么样子？这会在没有任何警告的情况下编译并创建一个 26k 大但无法运行的 mod_ssl.so 文件。尝试启动服务器会给出与上述相同的错误消息。

我还尝试编译 Apache 服务器以查看服务器是否可以使用以下方法自行编译：

但是这会产生错误：

配置：错误：...错误，SSL/TLS 库丢失或无法使用

并直接链接到 /usr/local/ssl/lib 文件夹：

但是，这会在安装的 make 步骤失败之前给出 10 个警告和一个错误。

第一个警告：

最终错误：

我想在 apache 服务器上启用 SSL。我在httpd.conf和httpd-ssl.conf中进行了正确的配置。但是当我启动 apache 服务器时，出现以下错误：** 无效命令“SSLEngine”，可能拼写错误或由服务器配置中未包含的模块定义**。

注意：-我已经使用root用户通过yum安装了mod_ssl。现在我以非root用户登录并启动apche服务器，导致上述错误。

有没有办法将 Apache mod_ssl 配置为允许对一个特定 IP 使用 TLS 1.0，同时对所有其他 IP 强制使用 TLS 1.2？我需要支持来自仅支持 TLS 1.0 的旧系统的连接，但我不想为每个主机完全打开 TLS 1.0。我知道 IP 欺骗等，但基于 IP 的限制 - 如果可能的话 - 似乎是在旧系统被替换之前的最佳折衷方案。

我在将 mod_ssl 安装到我的 AWS Apache 实例时遇到问题...

我试过运行 sudo yum install 24mod_ssl 无济于事？它说没有可用的包 24mod_ssl。

我能做些什么？

我正在尝试强制执行一个规则，以便只有带有下划线的变量才能对站点进行身份验证。

1.尝试使用 SSLRequire %{SSL_CLIENT_S_DN_CN} 选项（将采用客户端证书 CN）

允许来自所有 SSLOptions +StdEnvVars SSLRequireSSL

上面尝试过，但 SSLRequire %{SSL_CLIENT_S_DN_CN} =~ ^_ 出现语法错误

我有以下dockerfile：

现在，当我通过 apache 访问 index.php 时，我看到 40 个密码，当我运行容器时

我看到了 180 个密码。如果我通过 apache 删除apache2-ssl包并重试，我现在可以看到所有 180 个密码。我试图在mod_ssl指令上启用所有密码，但没有任何帮助。我对 AES 的流密码（CTR、OFB、CFB）特别感兴趣

谢谢

我正在尝试将我的 PHP 应用程序从 http tp https 转换。我在我的服务器中加载了所有 SSL 证书。但是在重新启动 apache 服务器时，我发现错误为：

“无法将 G:/APPS/Apache Software Foundation/Apache2.2/modules/mod_ssl.so 加载到服务器中：找不到指定的模块”。

我检查了模块文件夹，似乎我的 Apache 安装中不存在这样的模块。如何下载/安装此模块？任何帮助表示赞赏。

谢谢， 希尔帕