Início / server / Perguntas / 1081716
Accepted
Amandasaurus
Asked: 2021-10-27 01:58:08 +0800 CST

Registre o certificado SSL que o Apache está usando para cada conexão SSL, para registro e depuração aprimorados

  • 772

Eu tenho um servidor web apache, com certificados mod_ssl e SSL da letsencrypt. certbotrelatórios estão bem e não expiram. Alguns diferentes (dos meus muitos usuários) relatam que obtêm certificados SSL inválidos/expirados do servidor (e eu vi a saída wgetdeles para provar isso).

Para depurar isso, quero registrar muitos detalhes de cada conexão SSL. Eu gostaria de registrar, para cada conexão SSL, o IP remoto e detalhes sobre a conexão SSL (por exemplo, protocolo), o valor SNI (identificação do nome do servidor) fornecido pelo cliente e, em seguida, qual certificado/cadeia/chave SSL no servidor foi usado . Eu quero

Com ErrorLog ssl:traceN(para vários N) posso obter alguns desses detalhes. Mas não consigo ver qual certificado SSL o servidor está usando para cada conexão. Como posso fazer isso?

logging ssl apache-2.4 lets-encrypt

2 respostas

  1. O Apache HTTPD mod_ssldefine várias variáveis ​​de ambiente, algumas das quais podem ser usadas para identificar o certificado do servidor. Por exemplo, existem SSL_SERVER_CERT(um certificado completo codificado em PEM), SSL_SERVER_S_DN(um DN do assunto), SSL_SERVER_M_SERIAL(um número de série do certificado).

    Você pode usá-los na configuração de log:

    CustomLog "logs/ssl_request_log" "... %{SSL_SERVER_S_DN}x ..."

    Leia o manual do mod_ssl para obter detalhes.

    • 1
  2. Best Answer

    mod_sslexporta um monte de variáveis ​​de ambiente ( veja a lista aqui ), que podem ser usadas para registrar informações sobre o certificado, por exemplo, em uma LogFormatdiretiva como esta:

    LogFormat "cert_CN='%{SSL_SERVER_S_DN_CN}e', cert_expires='%{SSL_SERVER_V_END}e', vhost='%{Host}i', client='%h'" ssl_combined

    No entanto, antes de iniciar o log, verifique este artigo sobre como expirar o certificado DST Root CA X3. É aquele que assinou a CA raiz do Let's Encrypt, e expirou em setembro. No entanto, a CA raiz do Let's Encrypt é aceita como uma CA confiável em praticamente todos os sistemas. Para isso, a expiração não é um problema, e os certificados emitidos continuam funcionando, exceto para sistemas mais antigos usando opensslversão < 1.1.0, que não interrompe a validação quando uma CA confiável é encontrada, mas insiste em verificar toda a cadeia (e falha).

    Se o sistema em questão tiver um openssl, você não pode fazer nada sobre o problema no lado do servidor, openssldevendo ser atualizado no cliente. Se isso não for uma opção, colocar na lista negra o certificado expirado ajuda.

    • 1

relate perguntas