Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Linux Autres OS Linux Debian démarrage d'Apache avec mod ssl et mot de passe...

démarrage d'Apache avec mod ssl et mot de passe...

5 réponses
Avatar
Loick.B
Bonjour =E0 tous.

Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl=20
tournant ensemble) vers Sarge, je m'essaye =E0 l'installation de mod-ssl=20
propos=E9e par d=E9faut.
Pas de pb =E0 l'installation, mais le serveur me demande d=E9sormais le mot=
de=20
passe du certificat au d=E9marrage du serveur.
Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur =
(le=20
script d'init ne transmet pas le mdp mais garde la main, m'emp=E9chant=20
d'intervenir et gelant le boot)...

Je souhaiterai donc savoir si il est possible;
1. De passer automatiquement le mot de passe au d=E9marrage (de cette fa=E7=
on et=20
en cas de shutdown auto de la machine, le serveur apache red=E9marrera seul=
).

2 De g=E9n=E9rer les certifs sans mot de passe (ce qui n'est pas possible p=
ar=20
d=E9faut).
Je dois avouer que cette solution serait celle de la derni=E8re chance, car=
elle=20
ne me satisfait pas en terme de CQ... +


Merci d'avance =E0 tous et bonne journ=E9e.
=2D-=20
Loick.B
Signaler un problème avec ce contenu

5 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Touch13
Le Lundi 11 Octobre 2004 14:00, Loick.B a écrit :
Bonjour à tous.


Bonjour,

Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl
tournant ensemble) vers Sarge, je m'essaye à l'installation de mod-ssl
proposée par défaut.
Pas de pb à l'installation, mais le serveur me demande désormais le m ot de
passe du certificat au démarrage du serveur.
Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur
(le script d'init ne transmet pas le mdp mais garde la main, m'empéchant
d'intervenir et gelant le boot)...

Je souhaiterai donc savoir si il est possible;
1. De passer automatiquement le mot de passe au démarrage (de cette fa çon
et en cas de shutdown auto de la machine, le serveur apache redémarrera
seul).

2 De générer les certifs sans mot de passe (ce qui n'est pas possible par
défaut).
Je dois avouer que cette solution serait celle de la dernière chance, c ar
elle ne me satisfait pas en terme de CQ... +



D'aprés un certain nombre de documentation concernant la certification de s
serveur Apache, il est normal de ne pas affecter de mot de passe au
certificat du serveur:
http://www.dr15.cnrs.fr/Delegation/STI/Certifs/CA-DR15/guide/#creation-cer t-www
J'avais trouvé d'autre référence à cette problèmatique mais j'ai du les perdre
lors de mon changement de poste. Quoi qu'il en soit toutes ces info étaie nt
sur google.


Merci d'avance à tous et bonne journée.


De rien
Avatar
Julien Valroff
--nextPart1535283.BcolmQWFUF
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Lundi 11 Octobre 2004 20:07, Touch13 a écrit :
Le Lundi 11 Octobre 2004 14:00, Loick.B a écrit :
> Bonjour à tous.

Bonjour,

> Migrant actuellement des serveurs sous Woody (avec apache *et* apache-s sl
> tournant ensemble) vers Sarge, je m'essaye à l'installation de mod-ssl
> proposée par défaut.
> Pas de pb à l'installation, mais le serveur me demande désormais le mot
> de passe du certificat au démarrage du serveur.
> Cela m'ennuie car la situation devient bloquante lors d'un boot du
> serveur (le script d'init ne transmet pas le mdp mais garde la main,
> m'empéchant d'intervenir et gelant le boot)...
>
> Je souhaiterai donc savoir si il est possible;
> 1. De passer automatiquement le mot de passe au démarrage (de cette f açon
> et en cas de shutdown auto de la machine, le serveur apache redémarre ra
> seul).



Sans jamais l'avoir testé, une solution existe : l'option SSLPassPhraseDi alog
de httpd.conf (à vérifier si elle est toujours valable pour Apache 2.x)

> 2 De générer les certifs sans mot de passe (ce qui n'est pas possib le par
> défaut).
> Je dois avouer que cette solution serait celle de la dernière chance, car
> elle ne me satisfait pas en terme de CQ... +



Jamais eu de souci avec ça. Par défaut, debconf ne te demande même pa s de mot
de passe pour crypter les clés (à moins que ma mémoire ne me joue des
tours ?!).

D'aprés un certain nombre de documentation concernant la certification des
serveur Apache, il est normal de ne pas affecter de mot de passe au
certificat du serveur:



Tout à fait d'accord ! La seule condition à ne pas perdre de vue est qu e les
fichiers de certificats ne soient lisibles que par le propriétaire du
processus parent d'Apache (root en l'occurence, ce qui est de toute façon le
cas par défaut puisque c'est root qui lance debconf)

http://www.dr15.cnrs.fr/Delegation/STI/Certifs/CA-DR15/guide/#creation-ce rt
-www J'avais trouvé d'autre référence à cette problèmatique mais j'ai du les
perdre lors de mon changement de poste. Quoi qu'il en soit toutes ces info
étaient sur google.

> Merci d'avance à tous et bonne journée.

De rien



@+
Julien

--
Hi! I'm your friendly neighbourhood signature virus.
Copy me to your signature file and help me spread!

GPG: 0xda0aeced

--nextPart1535283.BcolmQWFUF
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBBas0jaxDuRdoK7O0RAmo/AJsFa2rNeWdGRCWSW5tiMXDTfoVSpQCdEQRG
TZNFrPUI44VUWVfF9nekiag Á/7
-----END PGP SIGNATURE-----

--nextPart1535283.BcolmQWFUF--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Raphaël 'SurcouF' Bordet
Loick.B wrote:
Bonjour à tous.

Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl
tournant ensemble) vers Sarge, je m'essaye à l'installation de mod-ssl
proposée par défaut.
Pas de pb à l'installation, mais le serveur me demande désormais le mot de
passe du certificat au démarrage du serveur.
Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur (le
script d'init ne transmet pas le mdp mais garde la main, m'empéchant
d'intervenir et gelant le boot)...

Je souhaiterai donc savoir si il est possible;
1. De passer automatiquement le mot de passe au démarrage (de cette façon et
en cas de shutdown auto de la machine, le serveur apache redémarrera seul).

2 De générer les certifs sans mot de passe (ce qui n'est pas possible par
défaut).
Je dois avouer que cette solution serait celle de la dernière chance, car elle
ne me satisfait pas en terme de CQ... +



CQ ? Charte Qualité ?
En fait, c'est normal de ne pas générer de mot de passe pour le
certificat du serveur: qu'est-ce que ça apporte de plus, au final ?
Si l'attaquant à accès au fichier: c'est qu'il a obtenu les privilèges
root (parce que le fichier ne doit pas être lisible par n'importe qui
non plus). En outre, si jamais tu mets quand même un mot de passe, que
soit via l'option SSLPassPhraseDialog qui a été citée soit en la passant
au serveur au démarrage (donc, en la stockant quelque part, en clair,
parce que jusqu'à preuve du contraire, je ne sais pas si tu peux faire
autrement, à moins de faire un script de démarrage assez évolué...),
le fameux mot de passe sera rapidemment accessible à ce même attaquant.
Morale de l'histoire: si tu veux que ce certificat assure bien de
l'intégrité de ton serveur, assure-toi de sa sécurité.

--
Raphaël 'SurcouF' Bordet
http://debianfr.net/ | surcouf at debianfr dot net



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Frédéric Bothamy
* Loick.B [2004-10-11 14:00] :
Bonjour à tous.

Migrant actuellement des serveurs sous Woody (avec apache *et* apache-ssl
tournant ensemble) vers Sarge, je m'essaye à l'installation de mod-ssl
proposée par défaut.
Pas de pb à l'installation, mais le serveur me demande désormais le mot de
passe du certificat au démarrage du serveur.
Cela m'ennuie car la situation devient bloquante lors d'un boot du serveur (le
script d'init ne transmet pas le mdp mais garde la main, m'empéchant
d'intervenir et gelant le boot)...

Je souhaiterai donc savoir si il est possible;
1. De passer automatiquement le mot de passe au démarrage (de cette façon et
en cas de shutdown auto de la machine, le serveur apache redémarrera seul).



L'explication donnée par Steve Kemp à cette adresse
(http://www.advogato.org/person/Stevey/diary.html?start8) correspond
peut-être à ce que tu veux faire... (trouvé sur planet debian)


Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Loick.B
On Friday 15 October 2004 01:11, Frédéric Bothamy wrote:
L'explication donnée par Steve Kemp à cette adresse
(http://www.advogato.org/person/Stevey/diary.html?start8) correspond
peut-être à ce que tu veux faire... (trouvé sur planet debian)



Effectivement cette solution est propre est fonctionnelle.

Mais au vu de plusieurs argumentaires et tutoriaux, j'ai modifié la clef
d'apache pour qu'elle ne contienne plus de passphrase et tout roule désor mais
sans pb.
En attendant, j'estime que l'installe par défaut de sarge est litigieuse,
puisqu'elle génere par défaut une clef munie d'un mdp (le script interd it de
saisir un mdp vide) ce qui provoque un gel de la machine lors du reboot...

Merci du lien, je garde cette méthode sous le coude au cas où :-)


Cordialement.

--
Loick.B