Apache 2.2.3 / mod_ssl / CentOS 5.5 VPS
Термін дії нашого сертифікату закінчився 2011-10-06, і навіть якщо ми, здавалося б, правильно встановили нове, перегляд веб-сайту все ще показує сертифікат з минулим терміном дії! Я спробував видалити кеш браузера та скористався кількома різними браузерами. Відповідні рядки з файлу ssl.conf (я виключав ті, що коментуються.):
Listen 127.0.0.1:443
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
# Note - I tried disabling SSLSessionCache with the "none" setting but it didn't help.
<VirtualHost 127.0.0.1:443>
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.crt
SSLCertificateKeyFile /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.key
SSLCertificateChainFile /var/certs/gentlemanjoe.com/new2011/gd_bundle.crt
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
ServerAdmin webmaster@donotemailme.com
DocumentRoot /var/www/gentlemanjoe.com
ServerName gentlemanjoe.com
<Directory /var/www/gentlemanjoe.com>
AllowOverride All
Order deny,allow
allow from all
</Directory>
</VirtualHost>
Те, що я перевірив
Спершу я спробував перемістити старі файли cert та key до зовсім іншої папки, щоб переконатися, що Apache все ще не захопив їх якось. Нічого не змінилося. Для задоволення я спробував тимчасово перейменувати новий файл cert та key, і Apache послушно поскаржився та відмовився запускати.
Тоді я спробував переконатися, що мене не обдурили, редагуючи неправильний файл конфігурації. Використовуючи "знайти", я знайшов лише один файл httpd.conf під /etc/httpd/conf/httpd.conf. Я також використав "Знайти", щоб переконатися, що існує лише один файл ssl.conf, /etc/httpd/conf.d/ssl.conf. Ключовий файл - це те, що я створив за допомогою OpenSSL, дотримуючись вказівок GoDaddy для генерації CSR.
Я переконався, що працюю з правильним сайтом, завантаживши файл test.html у папку /var/www/gentlemanjoe.com і перевіривши, чи зможу я переглядати його. Але якщо я спробую переглянути тестовий файл у HTTPS, я отримаю таке ж попередження про закінчення терміну дії сертифіката.
Я переконався, що сам серт має правильний термін придатності:
openssl x509 -in /var/certs/gentlemanjoe.com/new2011/gentlemanjoe.com.crt -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
07:e7:49:69:97:96:16
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certificates.godaddy.com/repository, CN=Go Daddy Secure Certification Authority/serialNumber=07969287
Validity
Not Before: Oct 21 17:37:55 2011 GMT
Not After : Oct 8 21:16:03 2013 GMT
Subject: C=CA, ST=BC, L=Burnaby, O=Diamond Bailey Consolidated Commercial Services Ltd, OU= , CN=www.gentlemanjoe.com
Я спробував повторно ввести сервер у GoDaddy з новою CSR, і все, здається, працює, але я отримую такий же результат у браузері.
Можливий ключ №1
Кожного разу, коли я роблю "перезапуск apachectl", я бачу це у файлі error_log:
[Fri Oct 21 18:03:33 2011] [notice] SIGHUP received. Attempting to restart
[Fri Oct 21 18:03:33 2011] [notice] Digest: generating secret for digest authentication ...
[Fri Oct 21 18:03:33 2011] [notice] Digest: done
[Fri Oct 21 18:03:33 2011] [info] APR LDAP: Built with OpenLDAP LDAP SDK
[Fri Oct 21 18:03:33 2011] [info] LDAP: SSL support available
[Fri Oct 21 18:03:33 2011] [info] Init: Seeding PRNG with 256 bytes of entropy
[Fri Oct 21 18:03:33 2011] [info] Init: Generating temporary RSA private keys (512/1024 bits)
[Fri Oct 21 18:03:33 2011] [info] Init: Generating temporary DH parameters (512/1024 bits)
[Fri Oct 21 18:03:33 2011] [info] Shared memory session cache initialised
[Fri Oct 21 18:03:33 2011] [info] Init: Initializing (virtual) servers for SSL
[Fri Oct 21 18:03:33 2011] [warn] RSA server certificate CommonName (CN) `www.gentlemanjoe.com' does NOT match server name!?
[Fri Oct 21 18:03:33 2011] [info] Server: Apache/2.2.3, Interface: mod_ssl/2.2.3, Library: OpenSSL/0.9.8e-fips-rhel5
[Fri Oct 21 18:03:34 2011] [notice] Apache/2.2.3 (CentOS) configured -- resuming normal operations
[Fri Oct 21 18:03:34 2011] [info] Server built: Aug 30 2010 12:28:40
Техніки GoDaddy кажуть мені, що www vs non-www не має значення, і я схильний погоджуватися, оскільки попередження безпеки у моєму браузері не скаржиться на невідповідність імені сервера, а швидше закінчується термін дії , що вказує на те, що старий сертифікат все ще є завантажуючись якось.
Можливий ключ №2
Заголовок відповіді HTTP-сервера для http://gentlemanjoe.com говорить "Andromeda", а не "Apache". Мені це здається дивним, оскільки мій Googling з "Andromeda" виявляє проект типу медіа-сервера, який не був би встановлений на цьому сервері (але я не можу цього сказати з певністю, оскільки я нічого з цього не налаштував , звичайний адміністратор / розробник у відпустці, і я просто допомагаю другові зі своїм сайтом.) Також файл httpd.conf не містить рядка "Andromeda", що вказує на те, що він не був модифікований, щоб виплюнути це. Отже, це може бути платформа електронної комерції Magento, яку він використовує, але в чому сенс заміни стандартного заголовка відповіді Apache?