web-dev-qa-db-fra.com

Commande invalide 'SSLOPENSSLCONFCMD', peut-être mal orthographiée ou définie par un module non inclus dans la configuration du serveur

Comme tous les autres administrateurs, je travaille à travers le logjam correction .

J'ai mis à niveau vers Apache 2.4.12 et OpenSSL 1.0.2a sur ma boîte Centos 6.6.

Lorsque je démarre Apache, je vois que ce message d'erreur est renvoyé:

Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration

Voici mes informations de construction Apache:

Server version: Apache/2.4.12 (Unix)
Server built:   Jun  8 2015 22:04:38
Server's Module Magic Number: 20120211:41
Server loaded:  APR 1.4.5, APR-UTIL 1.3.12
Compiled using: APR 1.4.5, APR-UTIL 1.3.12
Architecture:   64-bit
Server MPM:     worker
  threaded:     yes (fixed thread count)
    forked:     yes (variable process count)
Server compiled with....
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=256
 -D HTTPD_ROOT="/opt/installs/Apache/2_4_12"
 -D SUEXEC_BIN="/opt/installs/Apache/2_4_12/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/Apache_runtime_status"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

mod_ssl est inclus dans mon httpd.conf:

LoadModule ssl_module modules/mod_ssl.so

Qu'est-ce que je rate?

apache-2.4openssllogjam
10
ryanlraines

Le SSLOPENSSLCONFCMD est uniquement disponible sur httpd 2.4.8 plus tard.

Cependant, vous pouvez toujours générer et utiliser vos propres paramètres DH sur les versions antérieures, comme expliqué bien ici :

Si vous utilisez Apache avec Libressl ou Apache 2.4.7 et OpenSSL 0.9.8A ou ultérieure, vous pouvez ajouter les DHParams que vous avez générés précédemment à la fin de votre fichier de certificat. La documentation pour cela est ici et ci-dessous:

Les paramètres DH personnalisés et un nom de courbe CE pour les touches éphémères peuvent également être ajoutés à la fin du premier fichier configuré à l'aide de SSLCertificatefile. Ceci est pris en charge dans la version 2.4.7 ou ultérieure. Ces paramètres peuvent être générés à l'aide des commandes OpenSSL DHPARAM et OPENSSL ECPARAM. Les paramètres peuvent être ajoutés à la fin du premier fichier de certificat. Seul le premier fichier peut être utilisé pour les paramètres personnalisés, car ils sont appliqués indépendamment du type d'algorithme d'authentification.

Utilisez simplement CAT pour ajouter le fichier DHPARAMS.PEM à votre fichier de certificat:

cat dhparams.pem >> cert.pem
3
Dario Seidl

Per Apache Doc - L'ensemble des commandes disponibles SSLOpenSSLConfCmd dépend de la version OpenSSL (besoin) utilisée pour mod_ssl (au moins la version 1.0.2 est requise). Pour obtenir une liste de noms de commande pris en charge, voir la section Commandes de fichier de configuration prises en charge dans la page manuelle SSL_CONF_CMD (3) pour OpenSSL.

Vérifiez les commandes que vous utilisez avec SSLOpenSSLConfCmd

0
chetangb