Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
disponibles en HTTPS.
J'ai donc cr=E9=E9 un certificat priv=E9 pr le serveur
openssl genrsa -out cleeprivee.key 1024
et cr=E9er deux cl=E9es pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
maintenant pour configurer mes site j'utilise la bonne cl=E9e certifi=E9e p=
our
chacune d'entre elles mais la meme cl=E9e priv=E9e pour les deux comme ceci
Bonjour,<br>J'ai plusieurs site sur le meme serveur et je voudrais en m=
ettre quelques disponibles en HTTPS.<br><br>J'ai donc cr=E9=E9 un certi=
ficat priv=E9 pr le serveur<br>openssl genrsa -out cleeprivee.key 1024<br><=
br>
et cr=E9er deux cl=E9es pour mes sites<br>openssl req -new -x509 -days 365 =
-key cleeprivee.key -out site1.crt<br>openssl req -new -x509 -days 365 -key=
cleeprivee.key -out site2.crt<br><br>maintenant pour configurer mes site j=
'utilise la bonne cl=E9e certifi=E9e pour chacune d'entre elles mai=
s la meme cl=E9e priv=E9e pour les deux comme ceci<br>
<br><VirtualHost *:443><br>
ServerAdmin <a href=3D"mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
ServerName site1<br>
<br>
SSLEngine on<br>
SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
SSLCertificateKeyFile /etc/apach=
e2/site1.crt<br>
...<br>
</VirtualHost><br><br><VirtualHost *:443><br>
ServerAdmin <a href=3D"mailto:j.=
dindaine@cosmics.com">j.dindaine@cosmics.com</a><br>
ServerName site2<br>
<br>
SSLEngine on<br>
SSLCertificateFile /etc/apache2/=
cleeprivee.key<br>
SSLCertificateKeyFile /etc/apach=
e2/site2.crt<br>
...<br>
</VirtualHost><br><br>Au demarrage j'ai pourtant l'erreur sui=
vante:<br>[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server ce=
rtificate from file /etc/apache2/cleeprivee.key<br>[Wed Dec 03 14:33:32 200=
8] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routin=
es:ASN1_CHECK_TLEN:wrong tag<br>
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386 error:0D078=
03A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error<br><br>Ceci e=
st du a quoi???<br>
------=_Part_41594_9782277.1228315961510--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le 3 décembre 2008 15:52, Johan Dindaine a écr it :
Bonjour, J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques disponibles en HTTPS.
J'ai donc créé un certificat privé pr le serveur openssl genrsa -out cleeprivee.key 1024
et créer deux clées pour mes sites openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
Oula ...
Reprenons les bases de l'architecture des certificats x509 avec clé asymétrique :
1 / Un duo de clé est unique et asymétrique : une clé privé corresp ond à une seule clé publique. Elle sont associée l'une à l'autre. Le certificat x509 est considéré comme la clé publique. 2 / Des clés asymétriques sont générées en même temps ! 3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à être absolument signé par une autorité de certification. 4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé. 5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé publique. La clé privée ...est privée.
Ici je plusieurs problèmes : 1 / Il te manque une autorité de certification 2 / Tu fais des "req" soit des requete et non des sign donc tes req sont non signés et ce ne sont donc pas des certificats x509 utilisables 3 / Tu tentes d'associer toi même tes requêtes à une clé privé. Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des clés asymétriques sont générés en même temps. 4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser des vrais certificats il te faudra manger le man de openssl qui est une vraie encyclopédie ou alors utiliser des outils de pki (public key infrastructure) :
- OpenCA : complexe et pas forcement utile si tu veux juste deux certificat s. - Easy-rsa : simple et rapide à utiliser pour générer des certificats propres. Cet outil est installé par défaut avec openvpn et se trouve dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une collection de scripts qui lance des commandes openssl. Tu peux facilement t'en inspirer
;)
-- Vous aimez la bretagne ? Breizh da viken : www.pointbzh.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le 3 décembre 2008 15:52, Johan Dindaine <jojolapin972@gmail.com> a écr it :
Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
disponibles en HTTPS.
J'ai donc créé un certificat privé pr le serveur
openssl genrsa -out cleeprivee.key 1024
et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
Oula ...
Reprenons les bases de l'architecture des certificats x509 avec clé
asymétrique :
1 / Un duo de clé est unique et asymétrique : une clé privé corresp ond
à une seule clé publique. Elle sont associée l'une à l'autre. Le
certificat x509 est considéré comme la clé publique.
2 / Des clés asymétriques sont générées en même temps !
3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à
être absolument signé par une autorité de certification.
4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé
publique. La clé privée ...est privée.
Ici je plusieurs problèmes :
1 / Il te manque une autorité de certification
2 / Tu fais des "req" soit des requete et non des sign donc tes req
sont non signés et ce ne sont donc pas des certificats x509
utilisables
3 / Tu tentes d'associer toi même tes requêtes à une clé privé.
Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des
clés asymétriques sont générés en même temps.
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.
Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser
des vrais certificats il te faudra manger le man de openssl qui est
une vraie encyclopédie ou alors utiliser des outils de pki (public key
infrastructure) :
- OpenCA : complexe et pas forcement utile si tu veux juste deux certificat s.
- Easy-rsa : simple et rapide à utiliser pour générer des certificats
propres. Cet outil est installé par défaut avec openvpn et se trouve
dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une
collection de scripts qui lance des commandes openssl. Tu peux
facilement t'en inspirer
;)
--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le 3 décembre 2008 15:52, Johan Dindaine a écr it :
Bonjour, J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques disponibles en HTTPS.
J'ai donc créé un certificat privé pr le serveur openssl genrsa -out cleeprivee.key 1024
et créer deux clées pour mes sites openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
Oula ...
Reprenons les bases de l'architecture des certificats x509 avec clé asymétrique :
1 / Un duo de clé est unique et asymétrique : une clé privé corresp ond à une seule clé publique. Elle sont associée l'une à l'autre. Le certificat x509 est considéré comme la clé publique. 2 / Des clés asymétriques sont générées en même temps ! 3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à être absolument signé par une autorité de certification. 4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé. 5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé publique. La clé privée ...est privée.
Ici je plusieurs problèmes : 1 / Il te manque une autorité de certification 2 / Tu fais des "req" soit des requete et non des sign donc tes req sont non signés et ce ne sont donc pas des certificats x509 utilisables 3 / Tu tentes d'associer toi même tes requêtes à une clé privé. Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des clés asymétriques sont générés en même temps. 4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser des vrais certificats il te faudra manger le man de openssl qui est une vraie encyclopédie ou alors utiliser des outils de pki (public key infrastructure) :
- OpenCA : complexe et pas forcement utile si tu veux juste deux certificat s. - Easy-rsa : simple et rapide à utiliser pour générer des certificats propres. Cet outil est installé par défaut avec openvpn et se trouve dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une collection de scripts qui lance des commandes openssl. Tu peux facilement t'en inspirer
;)
-- Vous aimez la bretagne ? Breizh da viken : www.pointbzh.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
rvenne
bonjour,
corrigez si je me trompe,
2 certificats ssl fonctionnent vraiment sur le même host, avec le même port? Johan Dindaine a écrit :
Bonjour, J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques disponibles en HTTPS.
J'ai donc créé un certificat privé pr le serveur openssl genrsa -out cleeprivee.key 1024
et créer deux clées pour mes sites openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
maintenant pour configurer mes site j'utilise la bonne clée certifiée pour chacune d'entre elles mais la meme clée privée pour les deux comme ceci
SSLEngine on SSLCertificateFile /etc/apache2/cleeprivee.key SSLCertificateKeyFile /etc/apache2/site2.crt ... </VirtualHost>
Au demarrage j'ai pourtant l'erreur suivante: [Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server certificate from file /etc/apache2/cleeprivee.key [Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
Ceci est du a quoi???
-- Richard VENNE IT Administrator
Administrateur réseaux système & sécurité Afin de respecter l'environnement, merci de n'imprimer cet email qu'en cas de nécessité absolue.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonjour,
corrigez si je me trompe,
2 certificats ssl fonctionnent vraiment sur le même host, avec le même port?
Johan Dindaine a écrit :
Bonjour,
J'ai plusieurs site sur le meme serveur et je voudrais en mettre
quelques disponibles en HTTPS.
J'ai donc créé un certificat privé pr le serveur
openssl genrsa -out cleeprivee.key 1024
et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
maintenant pour configurer mes site j'utilise la bonne clée certifiée
pour chacune d'entre elles mais la meme clée privée pour les deux
comme ceci
SSLEngine on
SSLCertificateFile /etc/apache2/cleeprivee.key
SSLCertificateKeyFile /etc/apache2/site2.crt
...
</VirtualHost>
Au demarrage j'ai pourtant l'erreur suivante:
[Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server
certificate from file /etc/apache2/cleeprivee.key
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960
error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
Ceci est du a quoi???
--
Richard VENNE
IT Administrator
Administrateur réseaux système & sécurité
Afin de respecter l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
SSLEngine on SSLCertificateFile /etc/apache2/cleeprivee.key SSLCertificateKeyFile /etc/apache2/site2.crt ... </VirtualHost>
Au demarrage j'ai pourtant l'erreur suivante: [Wed Dec 03 14:33:32 2008] [error] Init: Unable to read server certificate from file /etc/apache2/cleeprivee.key [Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218529960 error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag [Wed Dec 03 14:33:32 2008] [error] SSL Library Error: 218595386 error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
Ceci est du a quoi???
-- Richard VENNE IT Administrator
Administrateur réseaux système & sécurité Afin de respecter l'environnement, merci de n'imprimer cet email qu'en cas de nécessité absolue.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
Le 3 décembre 2008 17:06, rvenne a écrit :
bonjour,
corrigez si je me trompe,
2 certificats ssl fonctionnent vraiment sur le même host, avec le mêm e port?
Le même port ne pose pas de problème puisque les directives "ServerName truc.machin.com" dans les deux virtualhost sont présentes. C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent au champs DN du certificat x509 utilisé sous peine de voir le navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
-- Vous aimez la bretagne ? Breizh da viken : www.pointbzh.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le 3 décembre 2008 17:06, rvenne <rvenne@meditrans.fr> a écrit :
bonjour,
corrigez si je me trompe,
2 certificats ssl fonctionnent vraiment sur le même host, avec le mêm e port?
Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
2 certificats ssl fonctionnent vraiment sur le même host, avec le mêm e port?
Le même port ne pose pas de problème puisque les directives "ServerName truc.machin.com" dans les deux virtualhost sont présentes. C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.
Par contre, pour être propre, il faut que les directives correspondent au champs DN du certificat x509 utilisé sous peine de voir le navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)
Kévin.
-- Vous aimez la bretagne ? Breizh da viken : www.pointbzh.com
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:
> et créer deux clées pour mes sites > openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt > openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
La seconde commande écrase le fichier cleeprivee.key de la première...
4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Sa commande me parait bonne, par contre je pense qu'il a inversé les fichiers:
Ça devrait être: SSLCertificateFile /etc/apache2/site1.crt SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:
> et créer deux clées pour mes sites
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
La seconde commande écrase le fichier cleeprivee.key de la
première...
4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Sa commande me parait bonne, par contre je pense qu'il a
inversé les fichiers:
Ça devrait être:
SSLCertificateFile /etc/apache2/site1.crt
SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ça devrait être: SSLCertificateFile /etc/apache2/site1.crt SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
rvenne
Yves Rutschle a écrit :
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:
et créer deux clées pour mes sites openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
La seconde commande écrase le fichier cleeprivee.key de la première...
4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Sa commande me parait bonne, par contre je pense qu'il a inversé les fichiers:
Ça devrait être: SSLCertificateFile /etc/apache2/site1.crt SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
humm... ouai, c'est bien ce qui me semblait. pour faire du https, il faut du dédié. le mutualisé ( avec du virtualhost) ne me semble pas tout à fait faisable.
Y.
-- Richard VENNE IT Administrator
Administrateur réseaux système & sécurité Afin de respecter l'environnement, merci de n'imprimer cet email qu'en cas de nécessité absolue.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Yves Rutschle a écrit :
On Wed, Dec 03, 2008 at 04:27:04PM +0100, Kevin Hinault wrote:
et créer deux clées pour mes sites
openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt
La seconde commande écrase le fichier cleeprivee.key de la
première...
4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Sa commande me parait bonne, par contre je pense qu'il a
inversé les fichiers:
Ça devrait être:
SSLCertificateFile /etc/apache2/site1.crt
SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.
humm... ouai, c'est bien ce qui me semblait. pour faire du https, il
faut du dédié. le mutualisé ( avec du virtualhost) ne me semble pas tout
à fait faisable.
Y.
--
Richard VENNE
IT Administrator
Administrateur réseaux système & sécurité
Afin de respecter l'environnement, merci de n'imprimer
cet email qu'en cas de nécessité absolue.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ça devrait être: SSLCertificateFile /etc/apache2/site1.crt SSLCertificateKeyFile /etc/apache2/cleeprivee.key
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
humm... ouai, c'est bien ce qui me semblait. pour faire du https, il faut du dédié. le mutualisé ( avec du virtualhost) ne me semble pas tout à fait faisable.
Y.
-- Richard VENNE IT Administrator
Administrateur réseaux système & sécurité Afin de respecter l'environnement, merci de n'imprimer cet email qu'en cas de nécessité absolue.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Si si, c'est faisable. Je sais plus où j'avais vu de la doc là -de ssus, mais le principe c'est que le cryptage commence à partir du moment o ù il y a eu traitement de la requête contenant le virtualhost.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Si si, c'est faisable. Je sais plus où j'avais vu de la doc là -de ssus,
mais le principe c'est que le cryptage commence à partir du moment o ù
il y a eu traitement de la requête contenant le virtualhost.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Si si, c'est faisable. Je sais plus où j'avais vu de la doc là -de ssus, mais le principe c'est que le cryptage commence à partir du moment o ù il y a eu traitement de la requête contenant le virtualhost.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Kevin Hinault
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la peine d'en faire ;) Avoir ces propres certificats auto-signés revient à rendre ces certificats inacceptables dans la plupart des cas.
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom du domaine appelé et donc au NameServer du Virtualhost.. C'est ce champ qui permet d'identifier le site sur lequel on va. Les certificats permettent 4 principes : authentification, non-répudiation, chiffrement, préservation des données. Si le DN n'es t pas bon, on perd déjà l'authentification et donc les autres deviennent forcément absurde.
Comme l'a justement dit Mario : http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la
peine d'en faire ;)
Avoir ces propres certificats auto-signés revient à rendre ces
certificats inacceptables dans la plupart des cas.
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas
utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit
DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom
du domaine appelé et donc au NameServer du Virtualhost..
C'est ce champ qui permet d'identifier le site sur lequel on va.
Les certificats permettent 4 principes : authentification,
non-répudiation, chiffrement, préservation des données. Si le DN n'es t
pas bon, on perd déjà l'authentification et donc les autres deviennent
forcément absurde.
Comme l'a justement dit Mario :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>> 4 / Une autorité de certification (CA) est la seule capable d'avoir un certificat auto-signé.
Bah non, il suffit d'ajouter -x509 dans sa commande...
Si on veut faire du SSL/TLS autant le faire bien sinon c'est pas la peine d'en faire ;) Avoir ces propres certificats auto-signés revient à rendre ces certificats inacceptables dans la plupart des cas.
4 / Dans ta conf apache tu devras donner le certificat publique de la ca et pour chaque virtualhost, le certificat privé et le certificat publique de celui-ci.
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Si si c'est possible heureusement : le champ CN (pardon j'avais dit DN) du certificat x509 devrait d'ailleurs toujours correspondre au nom du domaine appelé et donc au NameServer du Virtualhost.. C'est ce champ qui permet d'identifier le site sur lequel on va. Les certificats permettent 4 principes : authentification, non-répudiation, chiffrement, préservation des données. Si le DN n'es t pas bon, on perd déjà l'authentification et donc les autres deviennent forcément absurde.
Comme l'a justement dit Mario : http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Wed, Dec 03, 2008 at 05:12:17PM +0100, Yves Rutschle wrote a message of 40 lines which said:
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Il existe pourtant au moins trois solutions :
1) la commande HTTP STARTTLS (RFC 2817) http://signal.eu.org/blog/2007/09/07/http-et-tls-la-rfc-meconnue/
2) L'extension X.509 Subject Alternative Name (RFC 2459) http://www.bortzmeyer.org/plusieurs-noms-dans-certificat.html
3) L'extension X.509 Server Name Indication http://signal.eu.org/blog/2008/11/25/adieu-rfc-2817-bonjour-rfc-3546/
Certes, aucune des trois n'est complètement mise en oeuvre par tous les logiciels, mais c'est un début.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, Dec 03, 2008 at 05:12:17PM +0100,
Yves Rutschle <debian.anti-spam@rutschle.net> wrote
a message of 40 lines which said:
Et ça par contre, c'est pas possible, on ne peut pas utiliser https
avec des virtual hosts, c'est pas possible.
Il existe pourtant au moins trois solutions :
1) la commande HTTP STARTTLS (RFC 2817)
http://signal.eu.org/blog/2007/09/07/http-et-tls-la-rfc-meconnue/
2) L'extension X.509 Subject Alternative Name (RFC 2459)
http://www.bortzmeyer.org/plusieurs-noms-dans-certificat.html
3) L'extension X.509 Server Name Indication
http://signal.eu.org/blog/2008/11/25/adieu-rfc-2817-bonjour-rfc-3546/
Certes, aucune des trois n'est complètement mise en oeuvre par tous les
logiciels, mais c'est un début.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Wed, Dec 03, 2008 at 05:12:17PM +0100, Yves Rutschle wrote a message of 40 lines which said:
Et ça par contre, c'est pas possible, on ne peut pas utiliser https avec des virtual hosts, c'est pas possible.
Il existe pourtant au moins trois solutions :
1) la commande HTTP STARTTLS (RFC 2817) http://signal.eu.org/blog/2007/09/07/http-et-tls-la-rfc-meconnue/
2) L'extension X.509 Subject Alternative Name (RFC 2459) http://www.bortzmeyer.org/plusieurs-noms-dans-certificat.html
3) L'extension X.509 Server Name Indication http://signal.eu.org/blog/2008/11/25/adieu-rfc-2817-bonjour-rfc-3546/
Certes, aucune des trois n'est complètement mise en oeuvre par tous les logiciels, mais c'est un début.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Stephane Bortzmeyer
On Wed, Dec 03, 2008 at 06:16:38PM +0100, François TOURDE wrote a message of 26 lines which said:
On voit souvent le terme de « *cryptage* » apparaitre dans les articles ou messages au sujet de la cryptographie. Mais ce terme n'existe pas en français et, pire, représente une erreur de compréhension.
Revenons sur la cryptographie. Un message (le « texte en clair ») qu'on veut rendre illisible à un espion est transformé par un algorithme paramétré par une clé (une suite de nombres). La connaissance de l'algorithme *et* de la clé est normalement nécessaire pour opérer la transformation inverse et donc pour lire le message.
Mais certaines techniques, collectivement regroupées sous le nom de *cryptanalyse* permettent parfois de retrouver le message même sans connaitre la clé. C'est ainsi que sont nés les termes : * *chiffrer* = « coder » le texte en clair, grâce à la clé, pour produire un texte chiffré, illisible, * *déchiffrer* = « décoder » (retrouver le texte en clair) quand on connaît le « code » (le fonctionnement normal), * *décrypter* = « décoder » quand on ne connaît pas le « code » (grâce à la cryptanalyse). « crypter » voudrait donc dire « coder » sans clé, n'importe comment, sans aucune possibilité de « décoder » après opération.
Wikipédia, à juste titre, note que « le chiffrement est parfois appelé à tort cryptage » mais a la gentillesse de rediriger vers l'article Chiffrement lorsqu'on cherche Cryptage.
Le seul dictionnaire de français utilisable en ligne que je connaisse (à part bien sûr le Wiktionnaire), le Trésor de la Langue Française ne connait, lui, ni cryptage, ni chiffrement ! Le Dictionnaire en ligne de l'Académie Française, quoique difficilement utilisable (il faut apparemment un logiciel spécifique, non libre, pour le lire), me permettra de presque terminer cet article sur un argument d'autorité : il ne connait que chiffrement et pas cryptage.
Le livre de référence sur la cryptanalyse est bien sûr « "The code breakers" » de David Kahn, mais dont je déconseille la traduction française, très boguée.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Wed, Dec 03, 2008 at 06:16:38PM +0100,
François TOURDE <fra-duf-no-spam@tourde.org> wrote
a message of 26 lines which said:
On voit souvent le terme de « *cryptage* » apparaitre dans les articles
ou messages au sujet de la cryptographie. Mais ce terme n'existe pas en
français et, pire, représente une erreur de compréhension.
Revenons sur la cryptographie. Un message (le « texte en clair ») qu'on
veut rendre illisible à un espion est transformé par un algorithme
paramétré par une clé (une suite de nombres). La connaissance de
l'algorithme *et* de la clé est normalement nécessaire pour opérer la
transformation inverse et donc pour lire le message.
Mais certaines techniques, collectivement regroupées sous le nom de
*cryptanalyse* permettent parfois de retrouver le message même sans
connaitre la clé. C'est ainsi que sont nés les termes :
* *chiffrer* = « coder » le texte en clair, grâce à la clé, pour
produire un texte chiffré, illisible,
* *déchiffrer* = « décoder » (retrouver le texte en clair) quand on
connaît le « code » (le fonctionnement normal),
* *décrypter* = « décoder » quand on ne connaît pas le « code » (grâce
à la cryptanalyse).
« crypter » voudrait donc dire « coder » sans clé, n'importe comment,
sans aucune possibilité de « décoder » après opération.
Wikipédia, à juste titre, note que « le chiffrement est parfois appelé
à tort cryptage » mais a la gentillesse de rediriger vers l'article
Chiffrement lorsqu'on cherche Cryptage.
Le seul dictionnaire de français utilisable en ligne que je connaisse
(à part bien sûr le Wiktionnaire), le Trésor de la Langue Française ne
connait, lui, ni cryptage, ni chiffrement ! Le Dictionnaire en ligne de
l'Académie Française, quoique difficilement utilisable (il faut
apparemment un logiciel spécifique, non libre, pour le lire), me
permettra de presque terminer cet article sur un argument d'autorité :
il ne connait que chiffrement et pas cryptage.
Le livre de référence sur la cryptanalyse est bien sûr « "The code
breakers" » de David Kahn, mais dont je déconseille la traduction
française, très boguée.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On voit souvent le terme de « *cryptage* » apparaitre dans les articles ou messages au sujet de la cryptographie. Mais ce terme n'existe pas en français et, pire, représente une erreur de compréhension.
Revenons sur la cryptographie. Un message (le « texte en clair ») qu'on veut rendre illisible à un espion est transformé par un algorithme paramétré par une clé (une suite de nombres). La connaissance de l'algorithme *et* de la clé est normalement nécessaire pour opérer la transformation inverse et donc pour lire le message.
Mais certaines techniques, collectivement regroupées sous le nom de *cryptanalyse* permettent parfois de retrouver le message même sans connaitre la clé. C'est ainsi que sont nés les termes : * *chiffrer* = « coder » le texte en clair, grâce à la clé, pour produire un texte chiffré, illisible, * *déchiffrer* = « décoder » (retrouver le texte en clair) quand on connaît le « code » (le fonctionnement normal), * *décrypter* = « décoder » quand on ne connaît pas le « code » (grâce à la cryptanalyse). « crypter » voudrait donc dire « coder » sans clé, n'importe comment, sans aucune possibilité de « décoder » après opération.
Wikipédia, à juste titre, note que « le chiffrement est parfois appelé à tort cryptage » mais a la gentillesse de rediriger vers l'article Chiffrement lorsqu'on cherche Cryptage.
Le seul dictionnaire de français utilisable en ligne que je connaisse (à part bien sûr le Wiktionnaire), le Trésor de la Langue Française ne connait, lui, ni cryptage, ni chiffrement ! Le Dictionnaire en ligne de l'Académie Française, quoique difficilement utilisable (il faut apparemment un logiciel spécifique, non libre, pour le lire), me permettra de presque terminer cet article sur un argument d'autorité : il ne connait que chiffrement et pas cryptage.
Le livre de référence sur la cryptanalyse est bien sûr « "The code breakers" » de David Kahn, mais dont je déconseille la traduction française, très boguée.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
