Comment pouvez-vous redémarrer gracieusement Apache sans déconnecter les connexions SSL?

Nous essayons de recharger Apache gracieusement en utilisant une commande telle que:

apache2ctl -k graceful

Cela fonctionne comme prévu pour les utilisateurs HTTP et la configuration Apache est rechargée sans affecter les utilisateurs du site Web.

Cependant, nous avons constaté que les utilisateurs accédant au serveur via HTTPS sont déconnectés lors d'un rechargement gracieux.

Comment Apache peut-il être gracieusement rechargé sans affecter les connexions SSL?

Au cas où cela aiderait, nous utilisons HTTP 2 sur Apache 2.4.20.

ssl apache-2.4 http2 jones
la source

Eh bien, vous pouvez "recharger" au lieu de redémarrer apache. En supposant que vous exécutiez des trucs comme l'échange de clés Diffie-Hellman, après un redémarrage, les clés utilisées dans la "session" précédente n'existeront plus, donc de nouvelles sont en cours de création. Une autre option serait de mettre une sorte d'équilibreur de charge qui gère également ssl devant vos serveurs apache.

Harrys Kavan

Oui, nous rechargeons (gracieusement) au lieu de redémarrer.

jones

Mettre fin à SSL chez HAProxy est une option pour nous, si quelqu'un peut confirmer qu'il s'agit d'une solution viable?

jones

Il est assez courant de nos jours d'avoir un proxy ou un équilibreur de charge terminant le SSL de l'utilisateur final. Ensuite, pour une sécurité maximale, vous ajouterez un chiffrement SSL "en interne" entre l'apache et les équilibreurs / charges du proxy.

Harrys Kavan

Nous avons maintenant confirmé le bogue comme un problème avec le module HTTP2 dans Apache 2.4.10, en espérant qu'il puisse être corrigé en amont. Lorsque nous désactivons HTTP2, Apache peut être rechargé sans déconnecter les utilisateurs SSL.

jones

Comment pouvez-vous redémarrer gracieusement Apache sans déconnecter les connexions SSL?

Réponses: