Apache httpd - OCSP-Stapling - ssl: ошибка AH02217
Вступление
Я хочу настроить сшивание OCSP для моего httpd Сервис, который работает в этой версии:
[root@localhost ~]# httpd -v
Server version: Apache/2.4.6 (CentOS)
Server built: Nov 19 2015 21:43:13
Я использую этот дистрибутив Linux:
[root@localhost ~]# lsb_release -a
LSB Version: :core-4.1-amd64:core-4.1-noarch:cxx-4.1-amd64:cxx-4.1-noarch:desktop-4.1-amd64:desktop-4.1-noarch:languages-4.1-amd64:languages-4.1-noarch:printing-4.1-amd64:printing-4.1-noarch
Distributor ID: CentOS
Description: CentOS Linux release 7.2.1511 (Core)
Release: 7.2.1511
Codename: Core
Подход
Из того, что я понял, прочитав официальный Apache ssl HowTo и официальный документ Apache ssl Doc: С одной стороны, я должен отредактировать файл /etc/httpd/conf/httpd.conf, а с другой стороны, я должен указать и скопировать .pem файл. Подобный подход дается Учебником, найденным здесь.
Проблема реализации подхода
На самом деле мой файл /etc/httpd/conf/httpd.conf содержит несколько VirtualHosts и выглядит так (комментарии и некоторые другие вещи опущены):
[root@localhost ~]# cat /etc/httpd/conf/httpd.conf
ServerRoot "/etc/httpd"
Listen 8443
ServerName my.main.domain.com
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
LoadModule headers_module modules/mod_headers.so
LoadModule deflate_module modules/mod_deflate.so
LoadFile /usr/lib64/libxml2.so.2
LoadModule xml2enc_module modules/mod_xml2enc.so
LoadModule proxy_html_module modules/mod_proxy_html.so
LoadModule ssl_module /usr/lib64/httpd/modules/mod_ssl.so
Include conf.modules.d/*.conf
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
#commenting this in leads to the errors `AH02217`, `AH02235`,`AH01895` and `AH02312` from which httpd refused to restart
#SSLCACertificateFile /etc/httpd/conf/myFile.pem
<VirtualHost *:8443>
ProxyPreserveHost On
ProxyRequests Off
ServerName sub1.my.main.domain.com
RewriteEngine On
ProxyVia Off
ProxyPass / http://127.0.0.1:8887/
ProxyPassReverse / http://127.0.0.1:8887/
RequestHeader add X-Forwarded-Ssl on
RequestHeader set X-Forwarded-Proto "https"
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
SSLEngine On
SSLCertificateFile /etc/httpd/conf/someOtherFile.cer
SSLCertificateKeyFile /etc/httpd/conf/someOtherFile.key
#commenting this in here also leads to the errors `AH02217`, `AH02235`,`AH01895` and `AH02312` from which httpd refused to restart
#SSLCACertificateFile /etc/httpd/conf/myFile.pem
</VirtualHost>
# more VirtualHost directives
Это содержимое файла журнала ошибок /etc/httpd/logs/error_log:
[Wed Apr 06 11:23:01.702030 2016] [ssl:error] [pid 19305] AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
[Wed Apr 06 11:23:01.702050 2016] [ssl:error] [pid 19305] AH02235: Unable to configure server certificate for stapling
[Wed Apr 06 11:23:01.702639 2016] [ssl:emerg] [pid 19305] AH01895: Unable to configure verify locations for client authentication
[Wed Apr 06 11:23:01.702650 2016] [ssl:emerg] [pid 19305] AH02312: Fatal error initialising mod_ssl, exiting.
Я создал файл myFile.pem из anotherFile.pfx с помощью openssl следующим образом:
[root@localhost ~]# openssl pkcs12 -in anotherFile.pfx -nocerts -out myFile.pem
Enter Import Password:
MAC verified OK
Вопросы
- Что не так с моим конфигом?
- Я сделал что-то не так при преобразовании
.pfxподать в.pemфайл? - Какая информация мне нужна от моих поставщиков сертификатов, чтобы правильно преобразовать
.pfxподать в.pemфайл? - В моем описании отсутствует информация, необходимая для устранения этой проблемы?