Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
David BERCOT wrote: [snip] Mais si je ne mets qu'un port en entrée sur le routeur (80) et que je redirige vers un port unique (je ne peux pas faire autrement) sur le serveur (80 ou 443), ça ne marche plus !!! Je suis pourtant presque sûr que, ce matin, ça a fonctionné via : https://monserveur.mondomaine:80/ et t'as essayé avec _default_ dans le VirtualHost (au lieu de '*')? Oups, là non plus, je n'y arrive pas :-( Voici ma procédure : 1. Autorité de certification openssl genrsa -des3 -out my-ca.key 2048 openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt 2. Clé SSL openssl genrsa -des3 -out webmail-server.key 1024 là, tu lui dis de proteger la clef avec des>3 (triple des). openssl req -new -key webmail-server.key -out webmail-server.csr openssl x509 -req -in webmail-server.csr -out webmail-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650 Je ne vois pas où mettre cette option (j'ai fait plusieurs essais), et, si, quand il me demande la passphrase, j'appuie directement sur 'Entrée', il me dit que je dois mettre quelque chose entre 4 et 8000 et des bananes caractères... c'est vrai qu'il y a N manières avec openssl et selon les commandes qu'on tape, ... moi, j'utilise: openssl req -nodes -config openssl.cnf -new \ -keyout newkey.pem -out newkey.pem -days 365 openssl ca -config openssl.cnf -out newcert.pem -infiles newkey.pem (openssl.cnf précise où est le CA et patati et patata). Décidément, j'ai du mal aujourd'hui ;-) Merci pour vos conseils. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
David BERCOT a écrit : [...] Oups, là non plus, je n'y arrive pas :-( Voici ma procédure : 1. Autorité de certification 2. Clé SSL Je ne vois pas où mettre cette option (j'ai fait plusieurs essais), et, Décidément, j'ai du mal aujourd'hui ;-) Facile, rapide et bien fait : aptitude install tinyca ;-) Fanfan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
Le Sat, 08 Nov 2008 13:17:09 +0100, mouss <[EMAIL PROTECTED]> a écrit : > David BERCOT wrote: > > Re-bonjour, > > > > Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache > > qui n'est appelé que sur le port 443, que ce soit du http ou du > > https [on ne peut pas l'appeler sur le port 80]. [...] > Une session SSL est négociée et établie au moment de la connexion, et > avant de passer la commande (qui contient le vhost). pour une IP et > un port donné, on peut soit forcer SSL avec un certificat donné, soit > pas de SSL. on ne peut pas faire des choix (ssl ou pas, différents > certificats) selon le vhost. > on peut pas contre mettre des sites non ssl et faire des redirects > vers un autre port, mais il faut que ton routeur ne change pas ce > port. > euh. après un café, c'est mieux. > tu n'as qu'une config SSl, donc c'est bon. il faut juste y aller en > https://... donc oublie ce que j'ai déliré ;-p Ben oui, mais ça ne marche plus :-( Maintenant, j'ai remis (temporairement) une configuration normale : 80 sur le routeur et 80 sur le serveur, et 443 sur le routeur et 443 sur le serveur. Là, tout fonctionne très bien. Mais si je ne mets qu'un port en entrée sur le routeur (80) et que je redirige vers un port unique (je ne peux pas faire autrement) sur le serveur (80 ou 443), ça ne marche plus !!! Je suis pourtant presque sûr que, ce matin, ça a fonctionné via : https://monserveur.mondomaine:80/ > > Dernière question : lorsque je redémarre Apache2, il me pose la > > question suivante : > > Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog) > > Some of your private key files are encrypted for security reasons. > > In order to read them you have to provide the pass phrases. > > Server site4.mondomaine.tld:443 (RSA) > > Enter pass phrase: > > Aurais-je dû ne pas mettre de passphrase ou bien y a-t-il une > > solution pour qu'il ne me la demande pas (au démarrage du serveur, > > c'est coton de répondre ;-))) ? > quand tu généres les clefs, ne mets pas de passphrase (si tu généres > avec openssl, utilise -nodes. ou sinon, tapes quand il te > demande la passphrase). Oups, là non plus, je n'y arrive pas :-( Voici ma procédure : 1. Autorité de certification openssl genrsa -des3 -out my-ca.key 2048 openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt 2. Clé SSL openssl genrsa -des3 -out webmail-server.key 1024 openssl req -new -key webmail-server.key -out webmail-server.csr openssl x509 -req -in webmail-server.csr -out webmail-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650 Je ne vois pas où mettre cette option (j'ai fait plusieurs essais), et, si, quand il me demande la passphrase, j'appuie directement sur 'Entrée', il me dit que je dois mettre quelque chose entre 4 et 8000 et des bananes caractères... Décidément, j'ai du mal aujourd'hui ;-) Merci pour vos conseils. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
mouss wrote: David BERCOT wrote: Re-bonjour, Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache qui n'est appelé que sur le port 443, que ce soit du http ou du https [on ne peut pas l'appeler sur le port 80]. Avec ma configuration précédente (3 sites en http configurés sur le port 80 et 1 site en https configuré sur le port 443), si j'appelais le site en https en attaquant mon routeur sur le port 80 (celui-ci redirigeant la requête sur le port 443 vers mon serveur), ça fonctionnait correctement en https [exemple de Daniel : https://tondomaine.tld:80/]. Maintenant, je souhaiterais aussi que mes 3 autres sites répondent correctement, mais eux, en clair (http et pas https). Or, les appels à ces sites sont redirigés vers le port 443 de mon serveur. J'ai donc configuré mon /etc/apache2/sites-available/default de la manière suivante : NameVirtualHost *:443 ServerName site1.mondomaine.tld DocumentRoot /www/site1 ServerName site2.mondomaine.tld DocumentRoot /www/site2 ServerName site3.mondomaine.tld DocumentRoot /www/site3 ServerName site4.mondomaine.tld DocumentRoot /www/site4 SSLEngine on SSLCertificateFile /ssl/site4-server.crt SSLCertificateKeyFile /ssl/site4-server.key SSLCACertificatePath /ssl/ SSLCACertificateFile /ssl/my-ca.crt Or, avec cette configuration là, mes 3 premiers sites répondent correctement en http, mais le 4ème ne répond plus en https. J'ai l'erreur suivante : Une session SSL est négociée et établie au moment de la connexion, et avant de passer la commande (qui contient le vhost). pour une IP et un port donné, on peut soit forcer SSL avec un certificat donné, soit pas de SSL. on ne peut pas faire des choix (ssl ou pas, différents certificats) selon le vhost. on peut pas contre mettre des sites non ssl et faire des redirects vers un autre port, mais il faut que ton routeur ne change pas ce port. euh. après un café, c'est mieux. tu n'as qu'une config SSl, donc c'est bon. il faut juste y aller en https://... donc oublie ce que j'ai déliré ;-p Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à site4.mondomaine.tld:80. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. (Code d'erreur : ssl_error_rx_record_too_long) Quelques minutes avant, ça marchait très bien :-( Auriez-vous une idée de ce qui provoque cette erreur ? l'explication sur http://www.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html n'est pas très rassurante! Essaye en utilisant "_default_" dans le vhost: -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
David BERCOT wrote: Re-bonjour, Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache qui n'est appelé que sur le port 443, que ce soit du http ou du https [on ne peut pas l'appeler sur le port 80]. Avec ma configuration précédente (3 sites en http configurés sur le port 80 et 1 site en https configuré sur le port 443), si j'appelais le site en https en attaquant mon routeur sur le port 80 (celui-ci redirigeant la requête sur le port 443 vers mon serveur), ça fonctionnait correctement en https [exemple de Daniel : https://tondomaine.tld:80/]. Maintenant, je souhaiterais aussi que mes 3 autres sites répondent correctement, mais eux, en clair (http et pas https). Or, les appels à ces sites sont redirigés vers le port 443 de mon serveur. J'ai donc configuré mon /etc/apache2/sites-available/default de la manière suivante : NameVirtualHost *:443 ServerName site1.mondomaine.tld DocumentRoot /www/site1 ServerName site2.mondomaine.tld DocumentRoot /www/site2 ServerName site3.mondomaine.tld DocumentRoot /www/site3 ServerName site4.mondomaine.tld DocumentRoot /www/site4 SSLEngine on SSLCertificateFile /ssl/site4-server.crt SSLCertificateKeyFile /ssl/site4-server.key SSLCACertificatePath /ssl/ SSLCACertificateFile /ssl/my-ca.crt Or, avec cette configuration là, mes 3 premiers sites répondent correctement en http, mais le 4ème ne répond plus en https. J'ai l'erreur suivante : Une session SSL est négociée et établie au moment de la connexion, et avant de passer la commande (qui contient le vhost). pour une IP et un port donné, on peut soit forcer SSL avec un certificat donné, soit pas de SSL. on ne peut pas faire des choix (ssl ou pas, différents certificats) selon le vhost. on peut pas contre mettre des sites non ssl et faire des redirects vers un autre port, mais il faut que ton routeur ne change pas ce port. Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à site4.mondomaine.tld:80. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. (Code d'erreur : ssl_error_rx_record_too_long) Quelques minutes avant, ça marchait très bien :-( Auriez-vous une idée de ce qui provoque cette erreur ? Dernière question : lorsque je redémarre Apache2, il me pose la question suivante : Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server site4.mondomaine.tld:443 (RSA) Enter pass phrase: Aurais-je dû ne pas mettre de passphrase ou bien y a-t-il une solution pour qu'il ne me la demande pas (au démarrage du serveur, c'est coton de répondre ;-))) ? quand tu généres les clefs, ne mets pas de passphrase (si tu généres avec openssl, utilise -nodes. ou sinon, tapes quand il te demande la passphrase). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Apache, http et https sur le port 443 & passphrase sur clé privée...
David BERCOT a écrit : Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache qui n'est appelé que sur le port 443, que ce soit du http ou du https [on ne peut pas l'appeler sur le port 80]. [...] Maintenant, je souhaiterais aussi que mes 3 autres sites répondent correctement, mais eux, en clair (http et pas https). Or, les appels à ces sites sont redirigés vers le port 443 de mon serveur. J'ai donc configuré mon /etc/apache2/sites-available/default de la manière suivante : Salut, Plutot que de t'amuser à croiser des protocoles, des ports, ... Ne serait il pas plus simple de diriger TOUTES les connexions qui arrivent sur ton routeur vers un proxy. Ce dernier faisant l'aiguillage vers le port 80 pour trois des sites et vers le port 443 pour le dernier ? Si c'est possible, ce serait certainement plus simple, plus robuste et plus facile à faire évoluer ou administrer par la suite. Fanfan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Apache, http et https sur le port 443 & passphrase sur clé privée...
Re-bonjour, Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache qui n'est appelé que sur le port 443, que ce soit du http ou du https [on ne peut pas l'appeler sur le port 80]. Avec ma configuration précédente (3 sites en http configurés sur le port 80 et 1 site en https configuré sur le port 443), si j'appelais le site en https en attaquant mon routeur sur le port 80 (celui-ci redirigeant la requête sur le port 443 vers mon serveur), ça fonctionnait correctement en https [exemple de Daniel : https://tondomaine.tld:80/]. Maintenant, je souhaiterais aussi que mes 3 autres sites répondent correctement, mais eux, en clair (http et pas https). Or, les appels à ces sites sont redirigés vers le port 443 de mon serveur. J'ai donc configuré mon /etc/apache2/sites-available/default de la manière suivante : NameVirtualHost *:443 ServerName site1.mondomaine.tld DocumentRoot /www/site1 ServerName site2.mondomaine.tld DocumentRoot /www/site2 ServerName site3.mondomaine.tld DocumentRoot /www/site3 ServerName site4.mondomaine.tld DocumentRoot /www/site4 SSLEngine on SSLCertificateFile /ssl/site4-server.crt SSLCertificateKeyFile /ssl/site4-server.key SSLCACertificatePath /ssl/ SSLCACertificateFile /ssl/my-ca.crt Or, avec cette configuration là, mes 3 premiers sites répondent correctement en http, mais le 4ème ne répond plus en https. J'ai l'erreur suivante : Échec de la connexion sécurisée Une erreur est survenue pendant une connexion à site4.mondomaine.tld:80. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. (Code d'erreur : ssl_error_rx_record_too_long) Quelques minutes avant, ça marchait très bien :-( Auriez-vous une idée de ce qui provoque cette erreur ? Dernière question : lorsque je redémarre Apache2, il me pose la question suivante : Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server site4.mondomaine.tld:443 (RSA) Enter pass phrase: Aurais-je dû ne pas mettre de passphrase ou bien y a-t-il une solution pour qu'il ne me la demande pas (au démarrage du serveur, c'est coton de répondre ;-))) ? Merci beaucoup. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]