Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1042 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Config Apache2 et SSL: gestion des certificats

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Config Apache2 et SSL: gestion des certificats

n°712130
Eric B
Posté le 27-07-2005 à 17:52:39  profilanswer
 

Je cherche à optimiser la configuration d un server web apache2 qui n utilise que le SSL.
 
Le serveur fonctionne bien, mais j ai un petit soucis avec mon certificat SSL.
 
En effet, celui ci vérifie le nom de ma machine (hostname) qui est différent du nom de domaine. Du coup, l utilisateur a chq fois un message d alerte sur ce pb, message que j aimerais ne plus avoir.
 
Voici qques lignes de mon httpd.conf (modifié avec des données fake)
 

Code :
  1. NameVirtualHost 111.222.333.444:80
  2. NameVirtualHost 111.222.333.444:443
  4. DocumentRoot /home/htdocs/html
  6. # non secure connection is desactivated
  7. <VirtualHost 111.222.333.444:80 >
  8. ServerName providerhostname.server.info
  9.    ServerAlias myserverdomain.de www.myserverdomain.de
  10. ServerAdmin intranetadmin@myserverdomain.de
  12. Redirect Permanent / https://www.myserverdomain.de/
  14. #Log
  15. ErrorLog /home/htdocs/log/error_nossl.log
  16. TransferLog /home/htdocs/log/access_nossl.log
  17. CustomLog /home/htdocs/log/nossl.log combined
  18. </VirtualHost>
  20. <IfModule mod_ssl.c>
  22. <VirtualHost 111.222.333.444:443 >
  23. ServerName providerhostname.server.info
  24.    ServerAlias myserverdomain.de www.myserverdomain.de
  25. ServerAdmin intranetadmin@myserverdomain.de
  27. DocumentRoot /home/htdocs/html
  29. UseCanonicalName Off
  31. # Allow execution of PHP scripts (.php only for php4)
  32.        AddType application/x-httpd-php .php
  33.        AddType application/x-httpd-php-source .phps
  34.        DirectoryIndex index.htm index.html index.php
  35.      
  36. # SSL
  37. SSLEngine on
  38. SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  39. SSLCertificateFile /etc/apache2/ssl.crt/server.crt
  40. SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
  41. #   Certificate Authority (CA):
  42. SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt
  43. SSLVerifyClient none
  44. # Downgrade to HTTP 1.0 because of browser broken implementation of HTTP 1.1
  45. #SetEnvIf User-Agent ".*MSIE.*" \
  46. #  nokeepalive ssl-unclean-shutdown \
  47. #  downgrade-1.0 force-response-1.0
  49. #Log
  50. ErrorLog /home/htdocs/log/error_log
  51. TransferLog /home/htdocs/log/access_log
  52. CustomLog /home/htdocs/log/ssl_request_log ssl_combined
  54.    #SuexecUserGroup web0 user
  55.    ScriptAlias /cgi-bin/ /home/htdocs/html/cgi-bin/
  56.    php_admin_value open_basedir /home/htdocs/html/
  57.    php_admin_value file_uploads 1
  58.    php_admin_value upload_tmp_dir /home/htdocs/phptmp/
  60. <Directory "/home/htdocs/html">
  61.  SSLRequireSSL
  62.  php_admin_flag safe_mode off
  63.  AllowOverride All
  64.  Options Indexes SymLinksIfOwnerMatch
  65.  Order allow,deny
  66.  Allow from all
  67. </Directory>
  69. <Directory "/home/htdocs">
  70.   <Files ~ "^\.ht">
  71.     deny from all
  72.   </Files>
  73.   AllowOverride Indexes  AuthConfig Limit  FileInfo
  74.   Options FollowSymLinks Includes
  75. </Directory>
  77. <Directory "/home/htdocs/html">
  78.   Options -FollowSymLinks -SymLinksIfOwnerMatch
  79.   <IfModule mod_access.c>
  80.     Deny from all
  81.   </IfModule>
  82. </Directory>
  84. </VirtualHost>
  86. </IfModule>


 
 
Désolé si c est un peu indigeste. Quelle option dois je rajouté pour ne plus avoir l alerte : "SSL error:host(www.myserverdomain.de)!=cert(providerhostname.server.info)"
 
(message d alerte de lynx, plus explicite que ceux de Firefox ou IE!)


Message édité par Eric B le 28-07-2005 à 16:14:52
mood
Publicité
Posté le 27-07-2005 à 17:52:39  profilanswer
 

n°712521
Eric B
Posté le 28-07-2005 à 16:15:50  profilanswer
 

j ai changé le hostname en  www.myserverdomain.de, donc maintenant, hostname et DNS sont les memes.
Mais cela ne résoud pas le pb puisque le certificat est attribué au hostname précédant "providerhostname.server.info"
 
N y a t il pas des experts Apache SSL par ici?

n°713219
cpdump
Posté le 30-07-2005 à 11:04:16  profilanswer
 

Si je me souviens bien le certificat est lié au nom de machine, donc il te faut un mouveau certificat.

n°713641
Eric B
Posté le 01-08-2005 à 09:59:44  profilanswer
 

mais le nom de machine est le bon, c est juste que le nom de domaine diffère.
Il n y a pas moyen par une ligne ds le fichier de conf d apache de demander de verfier le certificat par le nom de machine et non DNS?

n°713649
cpdump
Posté le 01-08-2005 à 10:37:01  profilanswer
 

Quand je dis nom de machine, c'est le FQDN (avec le nom de domaine)
 
Pourquoi ne pas recréer un certificat ?

n°713652
Eric B
Posté le 01-08-2005 à 10:47:44  profilanswer
 

parce que les certificats sont fournis par le provider qui ne les crée qu'à partir du nom de ses machines. Je ne sais pas si on peut contractuellement exiger un certificat au nom de domaine, mais si il n y a pas d autres solutions, il est est clair que je vais leur demander...  
Le site hébergé est un intranet d'entreprise...

n°713672
cpdump
Posté le 01-08-2005 à 11:52:02  profilanswer
 

Si c'est un Intranet tu peux utiliser une autorité de certifaction privée (cad géré par l'entreprise), cela permet de gérer comme on veut les certificats, par contre il est préférable que cette autorité soit déclaré au niveau du navigateur pour que cela soit transparent pour l'utilisateur.

n°713793
Eric B
Posté le 01-08-2005 à 17:50:25  profilanswer
 

comment ca géré par l entreprise? C est quoi cette autorité?
 
Déclarer au niveau du navigateur, ca veut dire quoi?
 
S'agit t il de certificat auto signés ou est ce encore autre chose?

n°714078
cpdump
Posté le 02-08-2005 à 16:08:11  profilanswer
 

Je ne rentre pas dans le détail car c'est un sujet très vaste.
 
l'autorité de certification, c'est entité qui délivre les certificats, au lieu de ce soit une société externe qui te génère les certificats, cela peut être géré en interne, mais ce n'est valable que si l'entreprise utilise énorméments les certificats (genre infrastructure à clé publique) sinon cela fait beaucoup de travail pour quelques pauvres certificats.
 
Au niveau du navigateur, tu peux spécifier les autorités de certifications (ceux qui délivre les certificats) qui sont acceptés sans demande de confirmation par l'utilsateur. Moins on demande de chose à l'utilisateur, mieux c'est.
 
Les certificats auto signés peuvent être utilisés dans le cas d'autorités de certif internes.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Config Apache2 et SSL: gestion des certificats

 

Sujets relatifs
Config Serveur WEBquelle config minimale pour kubuntu ou mandriva ?
[Gestion d'images] Intégrer des mots clés à l'imageconfig et linux
applis kde et config clavier/langue[SSL] pas possible d'avoir un certificat de plus d'un mois ?
config samba/windows xpPERL + bash: gestion des espaces vides dans les noms de fichier
Souci de config réseau (ppp/dhcp)Panel de gestion d'hébergement.
Plus de sujets relatifs à : Config Apache2 et SSL: gestion des certificats

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.041 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR