Tham gia Đăng nhập
Điểm:0
avatar Server

Ghi nhật ký chứng chỉ ssl mà apache đang sử dụng cho mỗi kết nối SSL, để ghi nhật ký và gỡ lỗi nâng cao

lá cờ bg
Amandasaurus

Tôi có một máy chủ web apache, với chứng chỉ mod_ssl & SSL từ letsencrypt. certbot báo cáo họ vẫn ổn và không hết hạn. Một vài báo cáo khác nhau (trong số nhiều người dùng của tôi) rằng họ nhận được chứng chỉ SSL không hợp lệ/đã hết hạn từ máy chủ (và tôi đã thấy đầu ra từ quên đi từ họ để chứng minh điều đó).

Để gỡ lỗi này, tôi muốn ghi nhật ký nhiều chi tiết của từng kết nối SSL. Tôi muốn ghi nhật ký, đối với mỗi kết nối SSL, IP từ xa và thông tin chi tiết về kết nối SSL (ví dụ: giao thức), máy khách đã cung cấp giá trị SNI (nhận dạng tên máy chủ), sau đó chứng chỉ/chuỗi/khóa SSL nào trên máy chủ đã được sử dụng . tôi muốn

Với ErrorLog ssl:traceN (cho nhiều N) Tôi có thể nhận được một số chi tiết này. Nhưng tôi không thể thấy chứng chỉ SSL nào mà máy chủ đang sử dụng cho mỗi kết nối. Tôi có thể làm cái này như thế nào?

182
0 + 0
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
`wget` không phải là cách tốt nhất để kiểm tra chứng chỉ. Tìm hiểu cách sử dụng công cụ `openssl s_client`, được thiết kế chỉ dành cho mục đích gỡ lỗi SSL/TLS.
0
Hồi đáp
lá cờ bg
Amandasaurus
Tôi không sử dụng `wget` để kiểm tra chứng chỉ SSL. Tôi sử dụng `openssl s_client` để theo dõi. Tuy nhiên, một số người dùng của tôi đang sử dụng `wget` để tải xuống các tệp và họ gặp phải lỗi này và đã gửi email cho tôi đầu ra của thiết bị đầu cuối.
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Rất có thể `wget` của họ sử dụng cơ sở dữ liệu `ca_certificates` cũ không bao gồm chứng chỉ gốc Let's Encrypt mới hoặc một số chứng chỉ khác. Đó là lý do tại sao wget của họ phàn nàn. Nếu như vậy thì không được và không được làm gì cả, phải sửa là bên họ.
1
Hồi đáp
Điểm:1
avatar Server
lá cờ in
Lacek

mod_ssl xuất một loạt các biến môi trường (xem danh sách tại đây), có thể được sử dụng để ghi thông tin về chứng chỉ, chẳng hạn như trong một Nhật kýĐịnh dạng chỉ thị như thế này:

LogFormat "cert_CN='%{SSL_SERVER_S_DN_CN}e', cert_expires='%{SSL_SERVER_V_END}e', vhost='%{Host}i', client='%h'" ssl_combined

Tuy nhiên, trước khi bạn bắt đầu đăng nhập, hãy chắc chắn rằng bạn đã kiểm tra bài viết này về việc hết hạn chứng chỉ DST Root CA X3.Nó là cái đã ký CA gốc của Let's Encrypt và nó đã hết hạn vào tháng 9. Tuy nhiên, CA gốc của Let's Encrypt được hầu như mọi hệ thống chấp nhận là CA đáng tin cậy. Đối với điều này, hết hạn không phải là vấn đề và các chứng chỉ đã cấp vẫn tiếp tục hoạt động, ngoại trừ cho các hệ thống cũ hơn bằng cách sử dụng opensl phiên bản < 1.1.0, phiên bản này không dừng quá trình xác thực khi tìm thấy CA đáng tin cậy, nhưng yêu cầu kiểm tra toàn bộ chuỗi (và không thành công).

Nếu hệ thống được đề cập có phiên bản cũ hơn opensl, bạn không thể làm gì với sự cố ở phía máy chủ, opensl nên được nâng cấp trên máy khách. Nếu đó không phải là một tùy chọn, thì việc đưa chứng chỉ hết hạn vào danh sách đen sẽ hữu ích.

0 + 0
lá cờ bg
Amandasaurus
vâng, tôi tự hỏi liệu thay đổi chứng chỉ letsencrypt có liên quan ở đây không
0
Hồi đáp
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Một lần nữa, nếu sự cố openssl cũ hoặc ca_certificates cũ tồn tại trên máy khách, thì bạn không thể làm gì ở phía máy chủ. Giáo dục người dùng của bạn, giải thích cho họ tại sao sử dụng phần mềm lỗi thời là xấu, tại sao cần cập nhật.
1
Hồi đáp
lá cờ bg
Amandasaurus
Vâng, tôi đoán đó là sự thay đổi của LE. Nhưng tôi muốn chắc chắn 100%.
0
Hồi đáp
Điểm:1
Nikita Kipriyanov avatar Server
lá cờ za
Nikita Kipriyanov

HTTPD của Apache mod_ssl đặt các biến môi trường khác nhau, một số có thể được sử dụng để xác định chứng chỉ máy chủ. Ví dụ, có SSL_SERVER_CERT (một chứng chỉ được mã hóa PEM hoàn chỉnh), SSL_SERVER_S_DN (một DN của đối tượng), SSL_SERVER_M_SERIAL (một số sê-ri chứng nhận).

Bạn có thể sử dụng chúng trong cấu hình ghi nhật ký:

Nhật ký tùy chỉnh "logs/ssl_request_log" "... %{SSL_SERVER_S_DN}x ..."

Đọc hướng dẫn sử dụng mod_ssl để biết chi tiết.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.