Multiples certificats SSL sur apache2
Le
Franck
Hello la liste,
j'essais de mettre en place un serveur avec des domaines SSL.
Je sais faire avec un domaine et un seul certificat mais avec plusieurs,
les autres certificats ne sont pas pris en compte.
Si vous aviez de la doc ou un retour d'expérience à ce sujet, je suis
preneur.
Config : debian sarge + apache2 + php4 + certificats TBS qui marchent
nickel. Certificat par nom de domaine et pas par IP.
<VirtualHost *:443>
ServerName domaine1.com
SSLEngine on
SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine1.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>
<VirtualHost *:443>
ServerName domaine2.com
SSLEngine on
SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine2.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>
Merci de vos lumières
Franck
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'essais de mettre en place un serveur avec des domaines SSL.
Je sais faire avec un domaine et un seul certificat mais avec plusieurs,
les autres certificats ne sont pas pris en compte.
Si vous aviez de la doc ou un retour d'expérience à ce sujet, je suis
preneur.
Config : debian sarge + apache2 + php4 + certificats TBS qui marchent
nickel. Certificat par nom de domaine et pas par IP.
<VirtualHost *:443>
ServerName domaine1.com
SSLEngine on
SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine1.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>
<VirtualHost *:443>
ServerName domaine2.com
SSLEngine on
SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine2.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>
Merci de vos lumières
Franck
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Poser une question
@plus
Christophe
============
Franck wrote:
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
""
Je ne suis pas un expert, mais voilà ce que j'ai compris (sans la
moindre garantie) :
Lorsque tu utilises des vhosts, le serveur regarde dans les headers du
code html envoyé à quel vhost le client veur se connecter.
Si ce code html est crypté (ssl) il a l'air fin pour lire headers.
Donc a priori, un seul vhost par ip (et là il se fie au port
de connexion pour connaitre le vhost).
C'est ce qui est écrit dans la doc apache (et un peu partout
http://stombi.free.fr/blog/index.ph...le-ssl-vir tual-hosts).
Mais en pratique ça a l'air plus subtil.
La vrai contrainte, c'est _un seul certificat SSL par socket (ip/port)_
après, le serveur décrypte le code html, peut aller voir les head ers et
diriger le client vers le bon vhost.
Donc tu peux avoir plusieurs vhosts en SSL sur un seul serveur (même
ip et même port) à condition qu'il partagent le même certifi cat.
Ce certificat doit correspondre aux différent fqdn, c'est donc une
regexp du genre (vhost1|vhost2).mondomaine.com
Ãa fonctionne (j'ai essayé), mais pas très bien (dans mon ca s) car les
clients (firefox...) se méfient du certificat. Mais si le
l'utilisateur dit "ok, j'ai confiance", ça marche.
J'ai du louper une subtilité en créant mon certificat car il y a des
sites pour lesquels ça marche très bien.
Il reste un problème : quand tu ajoutes un vhost ssl, tu dois refaire le
certificat (à moins qu'il y ait une autre astuce qui m'échappe)
On m'a dit que la référence concernant la création de certif icats c'était :
http://wiki.cacert.org/wiki/VhostTaskForce
Si tu arrives à ce que les clients ne fassent pas de warnings, je suis
preneur !
bon courage
++
--
Sébastien BARTHÃLEMY