서버 구성에 포함되지 않은 모듈에 의해 철자가 틀리거나 정의 된 잘못된 명령 'SSLOpenSSLConfCmd'


10

다른 모든 관리자와 마찬가지로 Logjam 수정 프로그램을 진행하고 있습니다.

centos 6.6 상자에서 Apache 2.4.12 및 openssl 1.0.2a로 업그레이드했습니다.

아파치를 시작하면이 오류 메시지가 반환되는 것을 볼 수 있습니다.

Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration

내 아파치 빌드 정보는 다음과 같습니다.

Server version: Apache/2.4.12 (Unix)
Server built:   Jun  8 2015 22:04:38
Server's Module Magic Number: 20120211:41
Server loaded:  APR 1.4.5, APR-UTIL 1.3.12
Compiled using: APR 1.4.5, APR-UTIL 1.3.12
Architecture:   64-bit
Server MPM:     worker
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/opt/installs/apache/2_4_12"
 -D SUEXEC_BIN="/opt/installs/apache/2_4_12/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"    

mod_ssl은 내 httpd.conf에 포함되어 있습니다.

LoadModule ssl_module modules/mod_ssl.so

내가 무엇을 놓치고 있습니까?


1
weakdh.org/sysadmin 사이트했다 (이 글을 쓰는 현재로 가지고 계속) 오타 / 부정확 한 전 : serverfault.com/questions/706014/...
austinian

답변:


3

SSLOpenSSLConfCmd는 아파치 2.4.8 이후에서만 사용할 수 있습니다.

그러나 여기에 잘 설명 된 것처럼 여전히 이전 버전에서 자체 DH 매개 변수를 생성하고 사용할 수 있습니다 .

LibreSSL 또는 Apache 2.4.7 및 OpenSSL 0.9.8a 이상에서 Apache를 사용하는 경우 이전에 생성 한 DHparams를 인증서 파일 끝에 추가 할 수 있습니다. 이에 대한 설명서는 다음 과 같습니다.

SSLCertificateFile을 사용하여 구성된 첫 번째 파일 끝에 사용자 지정 DH 매개 변수와 임시 키의 EC 곡선 이름을 추가 할 수도 있습니다. 이것은 버전 2.4.7 이상에서 지원됩니다. 이러한 매개 변수는 openssl dhparam 및 openssl ecparam 명령을 사용하여 생성 할 수 있습니다. 매개 변수는 첫 번째 인증 파일의 끝에 그대로 추가 될 수 있습니다. 첫 번째 파일 만 인증 알고리즘 유형과 독립적으로 적용되므로 사용자 지정 매개 변수에 사용할 수 있습니다.

cat을 사용하여 dhparams.pem을 인증서 파일에 추가하십시오.

cat dhparams.pem >> cert.pem

0

Apache 문서 당-사용 가능한 SSLOpenSSLConfCmd명령 세트는 사용 중인 OpenSSL 버전 (필수)에 따라 다릅니다 mod_ssl(버전 1.0.2 이상 필요). 지원되는 명령 이름 목록은 OpenSSL 에 대한 SSL_CONF_cmd (3) 매뉴얼 페이지에서 지원되는 구성 파일 명령 섹션을 참조하십시오 .

함께 사용중인 명령을 확인하십시오. SSLOpenSSLConfCmd


openssl.org의 문서에서 'SSLOpenSSLConfCmd'명령에 대한 참조를 찾을 수 없습니다.
ryanlraines 2016 년

당신을 httpd.conf 또는 사용자 정의의 conf 파일에 SSLOpenSSLConfCmd 명령 이름 명령 값을 사용하고있을 수 있습니다 (conf.d / *) httpd.apache.org/docs/trunk/mod/mod_ssl.html
chetangb

0

OpenSSL 1.0.2 이상을 사용하는 경우 httpd 2.4.8 (릴리스되지 않음) 이상에서 사용 가능한 SSLOpenSSLConfCmd 지시문.

Apache 2.4.8의 변경 사항 (릴리스되지 않음) ... mod_ssl : SSLOpenSSLConfCmd 지시문을 도입하여 OpenSSL 구성 명령에 대한 지원을 추가하십시오. [카스파르 브랜드 Stephen Henson] ...

APR 구축

# ./configure --host=x86_64-redhat-linux-gnu --build=x86_64-redhat-linux-gnu --prefix=/opt/apr-1.5.2 --with-devrandom=/dev/urandom

APR-UTIL 구축

# ./configure --prefix=/opt/apr-util-1.5.4 --with-ldap --with-crypto --with-openssl=/opt/openssl-1.0.2a --with-apr=/opt/apr-1.5.2

아파치 빌드

# ./configure --prefix=/opt/httpd-2.4.12 --enable-mpms-shared=all --with-pcre --enable-mods-shared=all --enable-ssl --with-ssl=/opt/openssl-1.0.2a --with-apr=/opt/apr-1.5.2 --with-apr-util=/opt/apr-util-1.5.4 --enable-session-crypto
...
configure:
  setting INCLUDES to "-I."
  adding "-I$(top_srcdir)/os/$(OS_DIR)" to INCLUDES
  adding "-I$(top_srcdir)/include" to INCLUDES
  adding "-I/opt/apr-1.5.2/include/apr-1" to INCLUDES
  adding "-I/opt/apr-util-1.5.4/include/apr-1" to INCLUDES
  adding "-I/opt/openssl-1.0.2a/include" to INCLUDES
...

mod_ssl.so 확인

# ldd mod_ssl.so | grep ssl
        libssl.so.1.0.0 => /opt/openssl-1.0.2a/lib/libssl.so.1.0.0 (0x00007f6f3c6bd000)
        libcrypto.so.1.0.0 => /opt/openssl-1.0.2a/lib/libcrypto.so.1.0.0 (0x00007f6f3c287000)

# strings mod_ssl.so | grep SSLOpenSSLConfCmd
SSLOpenSSLConfCmd
AH02407: "SSLOpenSSLConfCmd %s %s" failed for %s
AH02556: "SSLOpenSSLConfCmd %s %s" applied to %s

아파치 설정 확인

# ./httpd -v
Server version: Apache/2.4.12 (Unix)
Server built:   Mar 27 2016 16:29:30

# ./httpd -V
Server version: Apache/2.4.12 (Unix)
Server built:   Mar 27 2016 16:29:30
Server's Module Magic Number: 20120211:41
Server loaded:  APR 1.5.2, APR-UTIL 1.5.4
Compiled using: APR 1.5.2, APR-UTIL 1.5.4
Architecture:   64-bit
Server MPM:     event
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/opt/httpd-2.4.12"
 -D SUEXEC_BIN="/opt/httpd-2.4.12/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

# /opt/httpd-2.4.12/bin/apachectl -t
Syntax OK

가상 호스트 설정

# conf/extra/httpd-ssl.conf
Listen 443
SSLOpenSSLConfCmd DHParameters /etc/pki/httpd/dhparams_2048.pem
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2
SSLHonorCipherOrder on
SSLPassPhraseDialog  builtin
SSLSessionCache "shmcb:/opt/httpd-2.4.12/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLProtocol All -SSLv2 -SSLv3

<VirtualHost _default_:443>

   DocumentRoot "/opt/httpd-2.4.12/htdocs"
   ServerName ssllabs.example.com:443
   ServerAdmin webmaster@example.com
   ErrorLog "/opt/httpd-2.4.12/logs/error_log"
   TransferLog "/opt/httpd-2.4.12/logs/access_log"

   SSLEngine on
   SSLCertificateFile /etc/pki/httpd/server.pem
   SSLCertificateKeyFile /etc/pki/httpd/server.key

   <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
   </FilesMatch>
   <Directory "/opt/httpd-2.4.12/cgi-bin">
       SSLOptions +StdEnvVars
   </Directory>

   BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
   CustomLog "/opt/httpd-2.4.12/logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>

검사 결과

여기에 이미지 설명을 입력하십시오

여기에 이미지 설명을 입력하십시오

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.