Comment pouvez-vous redémarrer gracieusement Apache sans déconnecter les connexions SSL?

11

Nous essayons de recharger Apache gracieusement en utilisant une commande telle que:

apache2ctl -k graceful

Cela fonctionne comme prévu pour les utilisateurs HTTP et la configuration Apache est rechargée sans affecter les utilisateurs du site Web.

Cependant, nous avons constaté que les utilisateurs accédant au serveur via HTTPS sont déconnectés lors d'un rechargement gracieux.

Comment Apache peut-il être gracieusement rechargé sans affecter les connexions SSL?

Au cas où cela aiderait, nous utilisons HTTP 2 sur Apache 2.4.20.

jones
la source
5
Eh bien, vous pouvez "recharger" au lieu de redémarrer apache. En supposant que vous exécutiez des trucs comme l'échange de clés Diffie-Hellman, après un redémarrage, les clés utilisées dans la "session" précédente n'existeront plus, donc de nouvelles sont en cours de création. Une autre option serait de mettre une sorte d'équilibreur de charge qui gère également ssl devant vos serveurs apache.
Harrys Kavan
Oui, nous rechargeons (gracieusement) au lieu de redémarrer.
jones
5
Mettre fin à SSL chez HAProxy est une option pour nous, si quelqu'un peut confirmer qu'il s'agit d'une solution viable?
jones
2
Il est assez courant de nos jours d'avoir un proxy ou un équilibreur de charge terminant le SSL de l'utilisateur final. Ensuite, pour une sécurité maximale, vous ajouterez un chiffrement SSL "en interne" entre l'apache et les équilibreurs / charges du proxy.
Harrys Kavan
5
Nous avons maintenant confirmé le bogue comme un problème avec le module HTTP2 dans Apache 2.4.10, en espérant qu'il puisse être corrigé en amont. Lorsque nous désactivons HTTP2, Apache peut être rechargé sans déconnecter les utilisateurs SSL.
jones

Réponses:

1

Pour vous assurer que les sessions HTTP basées sur H2 sont laissées seules (et non interrompues) lors de l'exécution apachectl -k graceful, mettez à niveau votre logiciel Apache vers 2.4.24 et votre package mod_h2 vers 1.4.7.

John Greene
la source
Une fois que nous aurons mis à jour et essayé cela, je ferai rapport. Merci
jones