Apache reverse proxy + HTTPS .. boudiou !!

Le
Ascadix
Salut tout le monde

Y Apache qu'est pas gentil avec moi, il veut pas marcher

Bon, je suis en train de mettre en place ( enfin ..d'essayer ) un
reverse proxy en Apache pour ouvrir l'accès à certains serveurs
internes, notamment un Outlok Web Access.

J'ai ma machine Apache ( Debian 4 / Apache 2 ), les mod_proxy et cie
sont chargé.

En HTTP, ça passe nickel.
[client] -HTTP-> [Apache] -HTTP-> [OWA]

Par contre, je voudrais que l'Apache me colle une couche de SSL
là-dessus pour avoir:
[client] -HTTP*S*-> [Apache] -HTTP-> [OWA]

NB: je souhaite ne pas mettre de SSL en interne sur le IIS, juste que
l'Apache me fournisse du HTTPS pour l'extérieur.

Et là rien à faire, j'y ai passé déjà +/- 4 h, des dizaines de pages
, man, tutos, etc
Pas moyen d'avoir quoique ce soit en HTTPS, même pas un début de message
du browser ralant que j'utilise un certificat auto-généré.
Ppourtant, l'apache est bien capable par moment de me demander un
password pour la key ou alors de raler que j'ai mis le .PEM au bon
endroit si je le planque ailleur
Rien, nada que dalle. Y bien qqchose sur le port 443 de ma machine,
l'apache se met en écoute mais que dalle pour les connexions depuis
un navigateur.

C'est pas un pb de FW sur le réseau, car pour l'instant, le PC "client",
l'Apache et le serveur HTTP cible sont tous sur le même LAN le temsp de
finir ce montage.

Est-ce que qqun peut me filer qq infos ? ou un bon tuto pour coller du
SSL sur Apache et ses mod_proxy, reverse, etc ?

Merci

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Rakotomandimby (R12y) Mihamina
Le #6693061
Ascadix wrote:
J'ai ma machine Apache ( Debian 4 / Apache 2 ), les mod_proxy et cie
sont chargé.


En essayant avec mod_rewrite, peut-être:
http://plone.org/documentation/tutorial/plone-apache/virtualhost

Juste pour étayer un peu: Zope/Plone ne supporte pas le HTTPS, si on
veut le faire tourner en HTTPS, il faut donc leur foutre un Apache devant.

Ascadix
Le #6695091
Ascadix wrote:
J'ai ma machine Apache ( Debian 4 / Apache 2 ), les mod_proxy et cie
sont chargé.


En essayant avec mod_rewrite, peut-être:
http://plone.org/documentation/tutorial/plone-apache/virtualhost

Juste pour étayer un peu: Zope/Plone ne supporte pas le HTTPS, si on
veut le faire tourner en HTTPS, il faut donc leur foutre un Apache devant.


Merci

Mais un truc me trouble, ce doc date de 2005, dans les dizaines de pages
que je me suis avalées précédemment, pour celles qui sont daté sont plus
récentes, et il apparait très souvent l'info qu'utiliser mod_rewrite est
une mauvaise idée, un détournement vu qu'il n'est pas vraiment conçu
pour cet usage et qu'il faut beaucoup mieux utiliser mod_proxy.

De fait, j'ai commencé avec mod_proxy et principalement les directives
ProxyPass, ProxyPassReverse et ProxyPreserveHost, tout ça me permet de
"proxyfier" en HTTP , là ou ça coince, c'est pour passer en HTTPS vers
l'extérieur.

Vu l'insistance de la plusparts des docs récents que j'ia vu sur la
"forte recommandation" d'utilsier mod_proxy et pas mod_rewrite, et le
fait que c'est la partie SSL qui me bloque ..j'hésite beaucoup à me
lancer sur la piste du mod_reverse.

à moins qu'il ne soit obligatoire de passer par du mod_rewrite pour
passer de HTTP à HTTPS dans le reverse-proxy ?

encore merci

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.


Mihamina Rakotomandimby
Le #6696481
Ascadix wrote:
Vu l'insistance de la plusparts des docs récents que j'ia vu sur la
"forte recommandation" d'utilsier mod_proxy et pas mod_rewrite,


Si leur "forte recommandation" est argumentée, lis les arguments. Si
dans ces derniers il y a des éléments bloquants pour toi, alors c'est à
toi de décider de ce que tu dois faire. Moi j'utilise rewrite pour mes
sites Plone. C'est fonctionnel et je n'ai pas de problème avec.

Si par contre ils n'ont pas d'arguments, alors demande à l'auteur de
t'en fournir (d'ailleurs ce type de "critique" enrichirait son
document). Si il ne t'en donne pas, alors c'est qu'il n'a pas
d'arguments (ou pas le temps de t'en donné, hein...).

Moi je te conseille d'essayer: Si ça fonctionne, alors par exemple, va
sur une Mailing liste dédiée Apache et demande comment "convertir"
proprement tes directives 'rewrite' en 'proxy*'.

PS: La doc Plone que je t'ai indiqué est encore valable aujourdh'ui. Je
ne sais pas jusqu'à quand.

--
Huile Essentielle de Camphre http://www.huile-camphre.fr
Infogerance http://www.infogerance.us
(Serveurs, Postes de travail, Développement logiciel)

Ascadix
Le #6698181
Ascadix wrote:
Vu l'insistance de la plusparts des docs récents que j'ia vu sur la
"forte recommandation" d'utilsier mod_proxy et pas mod_rewrite,


Si leur "forte recommandation" est argumentée, lis les arguments. Si
dans ces derniers il y a des éléments bloquants pour toi, alors c'est à
toi de décider de ce que tu dois faire. Moi j'utilise rewrite pour mes
sites Plone. C'est fonctionnel et je n'ai pas de problème avec.

Si par contre ils n'ont pas d'arguments, alors demande à l'auteur de
t'en fournir (d'ailleurs ce type de "critique" enrichirait son
document). Si il ne t'en donne pas, alors c'est qu'il n'a pas
d'arguments (ou pas le temps de t'en donné, hein...).

Moi je te conseille d'essayer: Si ça fonctionne, alors par exemple, va
sur une Mailing liste dédiée Apache et demande comment "convertir"
proprement tes directives 'rewrite' en 'proxy*'.

PS: La doc Plone que je t'ai indiqué est encore valable aujourdh'ui. Je
ne sais pas jusqu'à quand.



Ok, j'essaye ..

.. mais je retombe sur un point qui est probablement au centre des me
précédents problèmes:

Pour le SSL, il me faut le .KEY et .CRT
SSLCertificateFile /etc/apache2/ssl/crt/secure.example.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/key/secure.example.org.key

Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll, etc
.... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..mais aprés que dalle, aucun browser n'accroche en HTTPS, pas
d'alerte que c'est un certificat auto-généré ni quoi que ce soit, juste
un bête 404.

T'aurais aussi une bonne adresse pour la génération et la bonne mise en
place des certificats sur Apache pour passer en HTTPS ?

Merci
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.


Rakotomandimby (R12y) Mihamina
Le #6699131
Ascadix wrote:

Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll, etc
.... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..mais aprés que dalle, aucun browser n'accroche en HTTPS, pas
d'alerte que c'est un certificat auto-généré ni quoi que ce soit, juste
un bête 404.


Tu as une URL publique à donner?

T'aurais aussi une bonne adresse pour la génération et la bonne mise en
place des certificats sur Apache pour passer en HTTPS ?


Non, juste des mots clés:
http://www.google.fr/search?q=apache+https+key+pem

"Chez moi ça marche"...

Ascadix
Le #6704541
Ascadix wrote:

Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll,
etc .... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..mais aprés que dalle, aucun browser n'accroche en HTTPS, pas
d'alerte que c'est un certificat auto-généré ni quoi que ce soit,
juste un bête 404.


Tu as une URL publique à donner?


Pas encore, je voulais d'abord mettre tout ça en marche sur mon LAN
avant de poser le "relais" en DMZ.

T'aurais aussi une bonne adresse pour la génération et la bonne mise
en place des certificats sur Apache pour passer en HTTPS ?


Non, juste des mots clés:
http://www.google.fr/search?q=apache+https+key+pem


Mouaip ..j'en au déjà passé plusieurs en revue ..mais il doit me manquer
le déclic qqpart.

"Chez moi ça marche"...


Sniff ..po chez moi.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.


Bastien Durel
Le #6710651
On 24/05/2008 16:02, Ascadix wrote:
[...]
Ok, j'essaye ..

.. mais je retombe sur un point qui est probablement au centre des me
précédents problèmes:

Pour le SSL, il me faut le .KEY et .CRT
SSLCertificateFile /etc/apache2/ssl/crt/secure.example.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/key/secure.example.org.key

Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll, etc
.... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..
openssl s_client -connect tonapache:443 donne quoi ?


mais aprés que dalle, aucun browser n'accroche en HTTPS, pas
d'alerte que c'est un certificat auto-généré ni quoi que ce soit, juste
un bête 404.

Tu as un 404 https, ou un 404 http du à une redirection (30x) de ton IIS

qui ne sait pas que tu es derrière un proxy https ?

--
Bastien

Ascadix
Le #6711721
On 24/05/2008 16:02, Ascadix wrote:
[...]
Ok, j'essaye ..

.. mais je retombe sur un point qui est probablement au centre des me
précédents problèmes:

Pour le SSL, il me faut le .KEY et .CRT
SSLCertificateFile /etc/apache2/ssl/crt/secure.example.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/key/secure.example.org.key

Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll,
etc .... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..
openssl s_client -connect tonapache:443 donne quoi ?



J'essaye demain et je rapporte la réponse

mais aprés que dalle, aucun browser n'accroche en HTTPS, pas d'alerte
que c'est un certificat auto-généré ni quoi que ce soit, juste un bête
404.

Tu as un 404 https, ou un 404 http du à une redirection (30x) de ton IIS

qui ne sait pas que tu es derrière un proxy https ?


IE affiche "impossible de se connecter au serveur à l'adresse
192.168.1.10 ( adresse du proxy ) sans autre précision

FF affiche un message genre "le serveur à envoyé une réponse
incompréhensible -16xxxxxx"
le n° "-16xxxx" varie d'un coup à l'autre

Coté IIS ..rien n'arrive jusque-là, rien dans le log IIS, ni sur le log
du FW en déplaçant le proxy de l'autre coté d'un FW ( autorisation juste
HTTP )

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.


Bastien Durel
Le #6717721
On 26/05/2008 19:42, Ascadix wrote:
[...]
IE affiche "impossible de se connecter au serveur à l'adresse
192.168.1.10 ( adresse du proxy ) sans autre précision

FF affiche un message genre "le serveur à envoyé une réponse
incompréhensible -16xxxxxx"
le n° "-16xxxx" varie d'un coup à l'autre

Coté IIS ..rien n'arrive jusque-là, rien dans le log IIS, ni sur le log
du FW en déplaçant le proxy de l'autre coté d'un FW ( autorisation juste
HTTP )

Ça ressemble un peu à un message d'erreur qui arrive quand Apache

requiert un certificat client et que tu n'en as pas à lui proposer ou
qu'il ne lui convient pas.

Un truc du genre :
SSLVerifyClient require

--
Bastien

sensoo
Le #22673421
Bastien Durel a écrit le 27/05/2008 à 17h14 :
On 26/05/2008 19:42, Ascadix wrote:
[...]
IE affiche "impossible de se connecter au serveur à l'adresse
192.168.1.10 ( adresse du proxy ) sans autre précision

FF affiche un message genre "le serveur à envoyé une
réponse
incompréhensible -16xxxxxx"
le n° "-16xxxx" varie d'un coup à l'autre

Coté IIS ..rien n'arrive jusque-là, rien dans le log IIS, ni sur
le log
du FW en déplaçant le proxy de l'autre coté d'un FW (
autorisation juste
HTTP )

Ça ressemble un peu à un message d'erreur qui arrive quand
Apache


requiert un certificat client et que tu n'en as pas à lui proposer ou
qu'il ne lui convient pas.

Un truc du genre :
SSLVerifyClient require

--
Bastien


Bonjour,
J'imagine que cela fait longtemps que vous avez la réponse mais pour ceux qui tomberont ici comme moi...
Une directive Apache qui aide beaucoup:

SSLProxyEngine on

A bientôt.
Publicité
Poster une réponse
Anonyme