Wie können Sie Apache ordnungsgemäß neu starten, ohne die SSL-Verbindungen zu trennen?

Wir versuchen, Apache ordnungsgemäß mit einem Befehl wie dem folgenden neu zu laden:

apache2ctl -k graceful

Dies funktioniert wie erwartet für HTTP-Benutzer und die Apache-Konfiguration wird neu geladen, ohne dass dies Auswirkungen auf Benutzer der Website hat.

Wir haben jedoch festgestellt, dass Benutzer, die über HTTPS auf den Server zugreifen, während eines ordnungsgemäßen Neuladens nicht verbunden sind.

Wie kann Apache ordnungsgemäß neu geladen werden, ohne die SSL-Verbindungen zu beeinträchtigen?

Falls es hilft, verwenden wir HTTP 2 unter Apache 2.4.20.

ssl apache-2.4 http2 Jones
quelle

Nun, Sie könnten "neu laden", anstatt Apache neu zu starten. Angenommen, Sie führen Dinge wie den Diffie-Hellman-Schlüsselaustausch aus. Nach einem Neustart sind die in der vorherigen "Sitzung" verwendeten Schlüssel nicht mehr vorhanden, sodass neue erstellt werden. Eine andere Möglichkeit wäre, eine Art Load Balancer, der auch SSL handhabt, vor Ihren Apache-Servern zu platzieren.

Harrys Kavan

Ja, wir laden neu (elegant), anstatt neu zu starten.

Jones

Das Beenden von SSL bei HAProxy ist eine Option für uns, wenn jemand bestätigen kann, dass dies eine praktikable Lösung ist?

Jones

Heutzutage ist es eher üblich, dass ein Proxy oder Loadbalancer die SSL des Endbenutzers beendet. Für maximale Sicherheit fügen Sie dann eine "interne" SSL-Verschlüsselung zwischen dem Apache und den / Loadbalancern des Proxys hinzu.

Harrys Kavan

Wir haben den Fehler jetzt als Problem mit dem HTTP2-Modul in Apache 2.4.10 bestätigt, in der Hoffnung, dass er vorgelagert behoben werden kann. Wenn wir HTTP2 ausschalten, kann Apache neu geladen werden, ohne die SSL-Benutzer zu trennen.

Jones

Wie können Sie Apache ordnungsgemäß neu starten, ohne die SSL-Verbindungen zu trennen?

Antworten: