Настройка SSL

0

2

Здравствуйте.

Передо мной стоит задача по настройке работы с SSL-сертификатами для авторизации пользователей на сайте.

Имеем: CentOS 5, apache + nginx (фронтенд).

Подскажите, каким образом настройку лучше производить? Кто должен должен работать с SSL (apache или nginx)?
Нашёл кое-какую информацию по настройке, но поскольку мало что понимаю в никсах, лезть сразу боюсь.

Ссылка

←	Как на вставить строку на ed

iptables перенаправить пакет

→

С ssl должен работать nginx.

ventilator ★★★
(28.11.10 00:28:12 MSK)

Ответ на: комментарий от ventilator 28.11.10 00:28:12 MSK

У апача стоит mod_ssl, конфиг от которого (ssl.config) забивает 443 порт и не даёт его слушать nginx`у.
Что лучше с этим сделать? Помогает удаление этого файла, но не думаю, что это лушчее решение.

IHL
(28.11.10 00:32:40 MSK) автор топика

Если адрес один и сертификат один, вешай на nginx.

thesis ★★★★★
(28.11.10 00:34:17 MSK)

Ссылка

Ответ на: комментарий от IHL 28.11.10 00:32:40 MSK

Скажи ему слушать другой порт, ну.

thesis ★★★★★
(28.11.10 00:34:41 MSK)

Ответ на: комментарий от thesis 28.11.10 00:34:41 MSK

Да и вообще выруби его, ей-богу.

thesis ★★★★★
(28.11.10 00:35:24 MSK)

Ответ на: комментарий от thesis 28.11.10 00:35:24 MSK

Создал директиву server в nginx.conf, в неё включил настройки для SSL:

ssl					on;
ssl_protocols		SSLv3 TLSv1;
ssl_ciphers			AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_certificate		/etc/nginx/ssl/ca.crt;
ssl_certificate_key	/etc/nginx/ssl/ca.key;
ssl_session_cache	shared:SSL:10m;
ssl_session_timeout	10m;

И всё работает, на https переключается (для определённой директории сделал редирект на https), браузер спрашивает подтверждения исключения безопасности, но вот одна проблемка: сервер не требует пользовательского сертификата (хотя я его создал и подписал).
Что я забыл?

IHL
(28.11.10 12:05:30 MSK) автор топика

Ответ на: комментарий от IHL 28.11.10 12:05:30 MSK

Добавил

ssl_verify_client		on;
ssl_client_certificate	/etc/nginx/ssl/ca.crt;

Теперь требует. Верно?

Кстати, вопрос между делом. В директиве server для 80 порта моего IP я написал

		if ($scheme = "http") {
			rewrite ^/dir/(.*)$	https://$host/dir/$1 permanent;
		}

для редиректа запросов к директории на https. Всё работает, но не могу понять: кто редиректит обратно на http? Т.е. находясь на строницах в директории /dir/ все ссылки ведут на https://, однако если ссылка ведёт за пределы этой директории, то протокол автоматически меняется (при переходе) на http. Кто его меняет?

IHL
(28.11.10 12:24:36 MSK) автор топика