Certificats SSL

Le
Johan Dindaine
=_Part_41594_9782277.1228315961510
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
disponibles en HTTPS.

J'ai donc créé un certificat privé pr le serveur
openssl genrsa -out cleeprivee.key 1024

et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt

maintenant pour configurer mes site j'utilise la bonne clée certifiée p=
our
chacune d'entre elles mais la meme clée privée pour les deux comme ceci

<VirtualHost *:443>
ServerAdmin j.dindaine@cosmics.com
ServerName site1

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site1.crt

</VirtualHost>

<VirtualHost *:443>
ServerAdmin j.dindaine@cosmics.com
ServerName site2

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site2.crt

</VirtualHost>

Au demarrage j'ai pourtant l'erreur suivante:
[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server certificate
from file /etc/apache2/cleeprivee.key
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960
error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

Ceci est du a quoi???

=_Part_41594_9782277.1228315961510
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,<br>J&#39;ai plusieurs site sur le meme serveur et je voudrais en m=
ettre quelques disponibles en HTTPS.<br><br>J&#39;ai donc créé un certi=
ficat privé pr le serveur<br>openssl genrsa -out cleeprivee.key 1024<br><=
br>
et créer deux clées pour mes sites<br>openssl req -new -x509 -days 365 =
-key cleeprivee.key -out site1.crt<br>openssl req -new -x509 -days 365 -key=
cleeprivee.key -out site2.crt<br><br>maintenant pour configurer mes site j=
&#39;utilise la bonne clée certifiée pour chacune d&#39;entre elles mai=
s la meme clée privée pour les deux comme ceci<br>
<br>&lt;VirtualHost *:443&gt;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAdmin <a href="mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerName site1<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLEngine on<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateKeyFile /etc/apach=
e2/site1.crt<br>
<br>
&lt;/VirtualHost&gt;<br><br>&lt;VirtualHost *:443&gt;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerAdmin <a href="mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ServerName site2<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLEngine on<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SSLCertificateKeyFile /etc/apach=
e2/site2.crt<br>
<br>
&lt;/VirtualHost&gt;<br><br>Au demarrage j&#39;ai pourtant l&#39;erreur sui=
vante:<br>[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server ce=
rtificate from file /etc/apache2/cleeprivee.key<br>[Wed Dec 03 14:33:32 200=
8] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routin=
es:ASN1_CHECK_TLEN:wrong tag<br>
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386 error:0D078=
03A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error<br><br>Ceci e=
st du a quoi???<br>

=_Part_41594_9782277.1228315961510--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Hinault
Le #18034361
Le 3 décembre 2008 15:52, Johan Dindaine
Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
disponibles en HTTPS.

J'ai donc créé un certificat privé pr le serveur
openssl genrsa -out cleeprivee.key 1024

et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt



Oula ...

Reprenons les bases de l'architecture des certificats x509 avec clé
asymétrique :

1 / Un duo de clé est unique et asymétrique : une clé privé corresp ond
à une seule clé publique. Elle sont associée l'une à l'autre. Le
certificat x509 est considéré comme la clé publique.
2 / Des clés asymétriques sont générées en même temps !
3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à
être absolument signé par une autorité de certification.
4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé
publique. La clé privée ...est privée.

Ici je plusieurs problèmes :
1 / Il te manque une autorité de certification
2 / Tu fais des "req" soit des requete et non des sign donc tes req
sont non signés et ce ne sont donc pas des certificats x509
utilisables
3 / Tu tentes d'associer toi même tes requêtes à une clé privé.
Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des
clés asymétriques sont générés en même temps.
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.

Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser
des vrais certificats il te faudra manger le man de openssl qui est
une vraie encyclopédie ou alors utiliser des outils de pki (public key
infrastructure) :

- OpenCA : complexe et pas forcement utile si tu veux juste deux certificat s.
- Easy-rsa : simple et rapide à utiliser pour générer des certificats
propres. Cet outil est installé par défaut avec openvpn et se trouve
dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une
collection de scripts qui lance des commandes openssl. Tu peux
facilement t'en inspirer

;)

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
rvenne
Le #18035061
bonjour,

corrigez si je me trompe,

2 certificats ssl fonctionnent vraiment sur le même host, avec le même port?
Johan Dindaine a écrit :
Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre
quelques disponibles en HTTPS.

J'ai donc créé un certificat privé pr le serveur
openssl genrsa -out cleeprivee.key 1024

et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt

maintenant pour configurer mes site j'utilise la bonne clée certifiée
pour chacune d'entre elles mais la meme clée privée pour les deux
comme ceci

<VirtualHost *:443>
ServerAdmin ServerName site1

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site1.crt
...
</VirtualHost>

<VirtualHost *:443>
ServerAdmin ServerName site2

SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site2.crt
...
</VirtualHost>

Au demarrage j'ai pourtant l'erreur suivante:
[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server
certificate from file /etc/apache2/cleeprivee.key
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960
error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error

Ceci est du a quoi???




--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #18035301
Le 3 décembre 2008 17:06, rvenne
bonjour,

corrigez si je me trompe,

2 certificats ssl fonctionnent vraiment sur le même host, avec le mêm e port?



Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.

Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)

Kévin.

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
Le #18035291
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:
> et créer deux clées pour mes sites
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt



La seconde commande écrase le fichier cleeprivee.key de la
première...

4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.



Bah non, il suffit d'ajouter -x509 dans sa commande...

Sa commande me parait bonne, par contre je pense qu'il a
inversé les fichiers:

SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site1.crt

Ça devrait être:
SSLCertificateFile /etc/apache2/site1.crt
SSLCertificateKeyFile /etc/apache2/cleeprivee.key

4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.



Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
rvenne
Le #18035501
Yves Rutschle a écrit :
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:

et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt






La seconde commande écrase le fichier cleeprivee.key de la
première...


4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.




Bah non, il suffit d'ajouter -x509 dans sa commande...

Sa commande me parait bonne, par contre je pense qu'il a
inversé les fichiers:

SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site1.crt

Ça devrait être:
SSLCertificateFile /etc/apache2/site1.crt
SSLCertificateKeyFile /etc/apache2/cleeprivee.key


4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.




Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.



humm... ouai, c'est bien ce qui me semblait. pour faire du https, il
faut du dédié. le mutualisé ( avec du virtualhost) ne me semble pas tout
à fait faisable.
Y.






--
Richard VENNE
IT Administrator

Administrateur réseaux système & sécurité
Afin de respecter l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #18036131
Le 14216ième jour après Epoch,
écrivait:


Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.



humm... ouai, c'est bien ce qui me semblait. pour faire du https, il
faut du dédié. le mutualisé ( avec du virtualhost) ne me s emble pas
tout à fait faisable.



Si si, c'est faisable. Je sais plus où j'avais vu de la doc là-de ssus,
mais le principe c'est que le cryptage commence à partir du moment o ù
il y a eu traitement de la requête contenant le virtualhost.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le #18037071
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.



Bah non, il suffit d'ajouter -x509 dans sa commande...



Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.

4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.



Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.



Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n'es t
pas bon, on perd déjà l'authentification et donc les autres deviennent
forcément absurde.

Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #18038831
On Wed, Dec 03, 2008 at 05:12:17PM +0100,
Yves Rutschle a message of 40 lines which said:

Et ça par contre, c'est pas possible, on ne peut pas utiliser https
avec des virtual hosts, c'est pas possible.



Il existe pourtant au moins trois solutions :

1) la commande HTTP STARTTLS (RFC 2817)
http://signal.eu.org/blog/2007/09/07/http-et-tls-la-rfc-meconnue/

2) L'extension X.509 Subject Alternative Name (RFC 2459)
http://www.bortzmeyer.org/plusieurs-noms-dans-certificat.html

3) L'extension X.509 Server Name Indication
http://signal.eu.org/blog/2008/11/25/adieu-rfc-2817-bonjour-rfc-3546/

Certes, aucune des trois n'est complètement mise en oeuvre par tous les
logiciels, mais c'est un début.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
Le #18038821
On Wed, Dec 03, 2008 at 06:16:38PM +0100,
François TOURDE a message of 26 lines which said:

le principe c'est que le cryptage commence



Chiffrement

« Cryptage » n'existe pas en français

http://www.bortzmeyer.org/cryptage-n-existe-pas.html

Première rédaction de cet article le 19 Juin 2007

----------------------------


On voit souvent le terme de « *cryptage* » apparaitre dans les articles
ou messages au sujet de la cryptographie. Mais ce terme n'existe pas en
français et, pire, représente une erreur de compréhension.

Revenons sur la cryptographie. Un message (le « texte en clair ») qu'on
veut rendre illisible à un espion est transformé par un algorithme
paramétré par une clé (une suite de nombres). La connaissance de
l'algorithme *et* de la clé est normalement nécessaire pour opérer la
transformation inverse et donc pour lire le message.

Mais certaines techniques, collectivement regroupées sous le nom de
*cryptanalyse* permettent parfois de retrouver le message même sans
connaitre la clé. C'est ainsi que sont nés les termes :
* *chiffrer* = « coder » le texte en clair, grâce à la clé, pour
produire un texte chiffré, illisible,
* *déchiffrer* = « décoder » (retrouver le texte en clair) quand on
connaît le « code » (le fonctionnement normal),
* *décrypter* = « décoder » quand on ne connaît pas le « code » (grâce
à la cryptanalyse).
« crypter » voudrait donc dire « coder » sans clé, n'importe comment,
sans aucune possibilité de « décoder » après opération.

Wikipédia, à juste titre, note que « le chiffrement est parfois appelé
à tort cryptage » mais a la gentillesse de rediriger vers l'article
Chiffrement lorsqu'on cherche Cryptage.

Le seul dictionnaire de français utilisable en ligne que je connaisse
(à part bien sûr le Wiktionnaire), le Trésor de la Langue Française ne
connait, lui, ni cryptage, ni chiffrement ! Le Dictionnaire en ligne de
l'Académie Française, quoique difficilement utilisable (il faut
apparemment un logiciel spécifique, non libre, pour le lire), me
permettra de presque terminer cet article sur un argument d'autorité :
il ne connait que chiffrement et pas cryptage.

Le livre de référence sur la cryptanalyse est bien sûr « "The code
breakers" » de David Kahn, mais dont je déconseille la traduction
française, très boguée.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #18039061
Le 14216ième jour après Epoch,
Stephane Bortzmeyer écrivait:

On Wed, Dec 03, 2008 at 06:16:38PM +0100,
François TOURDE a message of 26 lines which said:

le principe c'est que le cryptage commence



Chiffrement

« Cryptage » n'existe pas en français



C'est vrai, j'ai souvent l'habitude de l'utiliser comme synonyme de
chiffrement. Mais comme le cryptage "n'existe pas", où est le mal ;)

PS: Inutile (voire gênant) de me mettre en destinataire des messages,
je suis abonné à la ML.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme