Apache reverse proxy + HTTPS .. boudiou !!
Le
Ascadix
Salut tout le monde
Y Apache qu'est pas gentil avec moi, il veut pas marcher
Bon, je suis en train de mettre en place ( enfin ..d'essayer ) un
reverse proxy en Apache pour ouvrir l'accès à certains serveurs
internes, notamment un Outlok Web Access.
J'ai ma machine Apache ( Debian 4 / Apache 2 ), les mod_proxy et cie
sont chargé.
En HTTP, ça passe nickel.
[client] -HTTP-> [Apache] -HTTP-> [OWA]
Par contre, je voudrais que l'Apache me colle une couche de SSL
là-dessus pour avoir:
[client] -HTTP*S*-> [Apache] -HTTP-> [OWA]
NB: je souhaite ne pas mettre de SSL en interne sur le IIS, juste que
l'Apache me fournisse du HTTPS pour l'extérieur.
Et là rien à faire, j'y ai passé déjà +/- 4 h, des dizaines de pages
, man, tutos, etc
Pas moyen d'avoir quoique ce soit en HTTPS, même pas un début de message
du browser ralant que j'utilise un certificat auto-généré.
Ppourtant, l'apache est bien capable par moment de me demander un
password pour la key ou alors de raler que j'ai mis le .PEM au bon
endroit si je le planque ailleur
Rien, nada que dalle. Y bien qqchose sur le port 443 de ma machine,
l'apache se met en écoute mais que dalle pour les connexions depuis
un navigateur.
C'est pas un pb de FW sur le réseau, car pour l'instant, le PC "client",
l'Apache et le serveur HTTP cible sont tous sur le même LAN le temsp de
finir ce montage.
Est-ce que qqun peut me filer qq infos ? ou un bon tuto pour coller du
SSL sur Apache et ses mod_proxy, reverse, etc ?
Merci
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Y Apache qu'est pas gentil avec moi, il veut pas marcher
Bon, je suis en train de mettre en place ( enfin ..d'essayer ) un
reverse proxy en Apache pour ouvrir l'accès à certains serveurs
internes, notamment un Outlok Web Access.
J'ai ma machine Apache ( Debian 4 / Apache 2 ), les mod_proxy et cie
sont chargé.
En HTTP, ça passe nickel.
[client] -HTTP-> [Apache] -HTTP-> [OWA]
Par contre, je voudrais que l'Apache me colle une couche de SSL
là-dessus pour avoir:
[client] -HTTP*S*-> [Apache] -HTTP-> [OWA]
NB: je souhaite ne pas mettre de SSL en interne sur le IIS, juste que
l'Apache me fournisse du HTTPS pour l'extérieur.
Et là rien à faire, j'y ai passé déjà +/- 4 h, des dizaines de pages
, man, tutos, etc
Pas moyen d'avoir quoique ce soit en HTTPS, même pas un début de message
du browser ralant que j'utilise un certificat auto-généré.
Ppourtant, l'apache est bien capable par moment de me demander un
password pour la key ou alors de raler que j'ai mis le .PEM au bon
endroit si je le planque ailleur
Rien, nada que dalle. Y bien qqchose sur le port 443 de ma machine,
l'apache se met en écoute mais que dalle pour les connexions depuis
un navigateur.
C'est pas un pb de FW sur le réseau, car pour l'instant, le PC "client",
l'Apache et le serveur HTTP cible sont tous sur le même LAN le temsp de
finir ce montage.
Est-ce que qqun peut me filer qq infos ? ou un bon tuto pour coller du
SSL sur Apache et ses mod_proxy, reverse, etc ?
Merci
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Poser une question
En essayant avec mod_rewrite, peut-être:
http://plone.org/documentation/tuto...irtualhost
Juste pour étayer un peu: Zope/Plone ne supporte pas le HTTPS, si on
veut le faire tourner en HTTPS, il faut donc leur foutre un Apache devant.
Merci
Mais un truc me trouble, ce doc date de 2005, dans les dizaines de pages
que je me suis avalées précédemment, pour celles qui sont daté sont plus
récentes, et il apparait très souvent l'info qu'utiliser mod_rewrite est
une mauvaise idée, un détournement vu qu'il n'est pas vraiment conçu
pour cet usage et qu'il faut beaucoup mieux utiliser mod_proxy.
De fait, j'ai commencé avec mod_proxy et principalement les directives
ProxyPass, ProxyPassReverse et ProxyPreserveHost, tout ça me permet de
"proxyfier" en HTTP , là ou ça coince, c'est pour passer en HTTPS vers
l'extérieur.
Vu l'insistance de la plusparts des docs récents que j'ia vu sur la
"forte recommandation" d'utilsier mod_proxy et pas mod_rewrite, et le
fait que c'est la partie SSL qui me bloque ..j'hésite beaucoup à me
lancer sur la piste du mod_reverse.
à moins qu'il ne soit obligatoire de passer par du mod_rewrite pour
passer de HTTP à HTTPS dans le reverse-proxy ?
encore merci
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Si leur "forte recommandation" est argumentée, lis les arguments. Si
dans ces derniers il y a des éléments bloquants pour toi, alors c'est à
toi de décider de ce que tu dois faire. Moi j'utilise rewrite pour mes
sites Plone. C'est fonctionnel et je n'ai pas de problème avec.
Si par contre ils n'ont pas d'arguments, alors demande à l'auteur de
t'en fournir (d'ailleurs ce type de "critique" enrichirait son
document). Si il ne t'en donne pas, alors c'est qu'il n'a pas
d'arguments (ou pas le temps de t'en donné, hein...).
Moi je te conseille d'essayer: Si ça fonctionne, alors par exemple, va
sur une Mailing liste dédiée Apache et demande comment "convertir"
proprement tes directives 'rewrite' en 'proxy*'.
PS: La doc Plone que je t'ai indiqué est encore valable aujourdh'ui. Je
ne sais pas jusqu'à quand.
--
Huile Essentielle de Camphre http://www.huile-camphre.fr
Infogerance http://www.infogerance.us
(Serveurs, Postes de travail, Développement logiciel)
Ok, j'essaye ..
.. mais je retombe sur un point qui est probablement au centre des me
précédents problèmes:
Pour le SSL, il me faut le .KEY et .CRT
SSLCertificateFile /etc/apache2/ssl/crt/secure.example.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/key/secure.example.org.key
Comment faut-il faire pour les créer d'une façon qui convienne à Apache ?
J'ai essayé avec plusieurs script et tutos, OpenSSL, apache-mod-sll, etc
.... j'obtient bien ces 2 fichiers, une fois mis en place avec qq
réglages annexes Apache accepte de démarrer et se met en écoute sur le
443 ..mais aprés que dalle, aucun browser n'accroche en HTTPS, pas
d'alerte que c'est un certificat auto-généré ni quoi que ce soit, juste
un bête 404.
T'aurais aussi une bonne adresse pour la génération et la bonne mise en
place des certificats sur Apache pour passer en HTTPS ?
Merci
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Tu as une URL publique à donner?
Non, juste des mots clés:
http://www.google.fr/search?q=apache+https+key+pem
"Chez moi ça marche"...