Multiples certificats SSL sur apache2

A ma connaissance tu ne peux mettre qu'un seul vhost SSL par IP.
@plus

Christophe
============
Franck wrote:

Hello la liste,

j'essais de mettre en place un serveur avec des domaines SSL.
Je sais faire avec un domaine et un seul certificat mais avec plusieurs,
les autres certificats ne sont pas pris en compte.
Si vous aviez de la doc ou un retour d'expérience à ce sujet, je suis
preneur.

Config : debian sarge + apache2 + php4 + certificats TBS qui marchent
nickel. Certificat par nom de domaine et pas par IP.

<VirtualHost *:443>
ServerName domaine1.com
SSLEngine on

SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine1.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>

<VirtualHost *:443>
ServerName domaine2.com
SSLEngine on

SSLCipherSuite
HIGH:-AES:MEDIUM:LOW:EXPORT:!ADH:!DSS:!EXPORT56:@STRENGTH:+3DES:+DES
SSLProtocol all -SSLv2
SSLCertificateKeyFile /etc/apache2/ssl/domaine2.com.key
SSLCACertificateFile /etc/apache2/ssl/ComodoSecurityServicesCA2018.crt
SSLCertificateFile /etc/apache2/ssl/cert-1143637981-10110.cer
SSLCertificateChainFile /etc/apache2/ssl/chain-1143637981-10110.txt
</VirtualHost>

Merci de vos lumières

Franck

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

> Franck wrote:

j'essais de mettre en place un serveur avec des domaines SSL.
Je sais faire avec un domaine et un seul certificat mais avec plusieurs,
les autres certificats ne sont pas pris en compte.
Si vous aviez de la doc ou un retour d'expérience à ce sujet, je suis
preneur.

"mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx> writes:

A ma connaissance tu ne peux mettre qu'un seul vhost SSL par IP.

Je ne suis pas un expert, mais voilà ce que j'ai compris (sans la
moindre garantie) :

Lorsque tu utilises des vhosts, le serveur regarde dans les headers du
code html envoyé à quel vhost le client veur se connecter.

Si ce code html est crypté (ssl) il a l'air fin pour lire headers.

Donc a priori, un seul vhost par ip (et là il se fie au port
de connexion pour connaitre le vhost).

C'est ce qui est écrit dans la doc apache (et un peu partout
http://stombi.free.fr/blog/index.php?2005/07/14/30-apache2-multiple-ssl-vir tual-hosts).
Mais en pratique ça a l'air plus subtil.

La vrai contrainte, c'est _un seul certificat SSL par socket (ip/port)_
après, le serveur décrypte le code html, peut aller voir les head ers et
diriger le client vers le bon vhost.

Donc tu peux avoir plusieurs vhosts en SSL sur un seul serveur (même
ip et même port) à condition qu'il partagent le même certifi cat.

Ce certificat doit correspondre aux différent fqdn, c'est donc une
regexp du genre (vhost1|vhost2).mondomaine.com

Ça fonctionne (j'ai essayé), mais pas très bien (dans mon ca s) car les
clients (firefox...) se méfient du certificat. Mais si le
l'utilisateur dit "ok, j'ai confiance", ça marche.

J'ai du louper une subtilité en créant mon certificat car il y a des
sites pour lesquels ça marche très bien.

Il reste un problème : quand tu ajoutes un vhost ssl, tu dois refaire le
certificat (à moins qu'il y ait une autre astuce qui m'échappe)

On m'a dit que la référence concernant la création de certif icats c'était :
http://wiki.cacert.org/wiki/VhostTaskForce

Si tu arrives à ce que les clients ne fassent pas de warnings, je suis
preneur !

bon courage

++

--
Sébastien BARTHÉLEMY