Come puoi riavviare con garbo Apache senza disconnettere le connessioni SSL?


11

Stiamo provando a ricaricare Apache con garbo usando un comando come:

apache2ctl -k graceful

Funziona come previsto per gli utenti HTTP e la configurazione di Apache viene ricaricata senza influire sugli utenti del sito Web.

Tuttavia, abbiamo riscontrato che gli utenti che accedono al server tramite HTTPS vengono disconnessi durante un caricamento graduale.

In che modo Apache può essere ricaricato con garbo senza influire sulle connessioni SSL?

Nel caso in cui aiuti, stiamo usando HTTP 2 su Apache 2.4.20.


5
Bene, potresti "ricaricare" invece di riavviare apache. Supponendo che tu esegua cose come lo scambio di chiavi Diffie-Hellman, dopo un riavvio, le chiavi utilizzate nella precedente "sessione" non esisteranno più, quindi ne verranno create di nuove. Un'opzione diversa sarebbe quella di mettere un qualche tipo di bilanciamento del carico che gestisca anche ssl davanti ai server apache.
Harrys Kavan,

Sì, stiamo ricaricando (grazioso) invece di riavviare.
jones,

5
Terminare SSL su HAProxy è un'opzione per noi, se qualcuno può confermare che è una soluzione praticabile?
jones,

2
Al giorno d'oggi è piuttosto comune avere un proxy o un bilanciamento del carico che termina l'SSL dell'utente finale. Quindi per la massima sicurezza aggiungerai la crittografia ssl "in-house" tra l'apache e il proxy / loadbalancer.
Harrys Kavan,

5
Ora abbiamo confermato il bug come problema con il modulo HTTP2 in Apache 2.4.10, sperando che possa essere risolto a monte. Quando disattiviamo HTTP2, Apache può essere ricaricato senza disconnettere gli utenti SSL.
jones,

Risposte:


1

Per garantire che le sessioni HTTP basate su H2 siano lasciate sole (e non terminate) durante l'esecuzione apachectl -k graceful, aggiornare il software Apache alla versione 2.4.24 e il pacchetto mod_h2 alla 1.4.7.


Una volta effettuato l'aggiornamento e provato questo, riporterò una risposta. Grazie
jones il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.