Re: [gull] openssl maintenir deux certificats CA_Root temporairement
Bonjour, En fait il s'agissait plutôt de ldap que de apache... Et j'ai trouvé que : /etc/ssl/certs:~$ cat CA_file.pem CA_NEW_file.pem > CA_bundle.pem Puis ldap.conf: TLS_CACERT /etc/ssl/certs/CA_bundle.pem La concaténation des deux certificats permettait de satisfaire à la demande des deux certificats, même s'ils n'ont rien avoir à faire ensemble !! Victoire et ouf! Merci pour vos réponses. Jacques > -Original Message- > From: gull [mailto:gull-boun...@forum.linux-gull.ch] On Behalf Of magnus > anderssen > Sent: mardi 10 novembre 2015 20:52 > To: Gull, liste de discussion > Subject: Re: [gull] openssl maintenir deux certificats CA_Root > temporairement > > > > On 2015-11-10 19:57, Yves Martin wrote: > > On Mon, 2015-11-09 at 09:49 +0100, felix wrote: > >> On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote: > >> > ... certains serveurs obtiennent leur certificat d'une autorité A > >> > (caduque mais encore existante) et d'autres serveurs d'une autorité > >> > B (la nouvelle mise en place)... > >> > >> > ... serveurs Linux (Debian)... coexister les deux certificats que > >> > les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre > >> ... > >> > >> Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'', > >> (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais > >> pointer sur la même IP (machine physique), utilisant chacun sa pair > >> de clef ssl. > > > > Bonsoir, > > > > Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le > > 443 > > pour le HTTPS, on ne peut présenter qu'un seul certificat par port > > ouvert. > > > > En effet comment Apache pourrait négocier la connexion SSL alors que > > l'URL mentionnait le "virtual host" n'a pas encore été transmise. > > > > Pour moi, présenter des certificats différents requièrent d'ouvrir des > > ports différents. > > > > Est-ce juste ou ai-je raté quelque chose ? > > > Non, c'est faux, il y a un proto qui permet de présenter plusieurs certifs > sur une même ip. > > -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication) > > ça permet d'avoir plusieurs domaines TLS sur une même IP. > > > > > > Bonne soirée > ___ > gull mailing list > gull@forum.linux-gull.ch > http://forum.linux-gull.ch/mailman/listinfo/gull ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] openssl maintenir deux certificats CA_Root temporairement
On Mon, 2015-11-09 at 09:49 +0100, felix wrote: > On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote: > > ... certains serveurs obtiennent leur certificat > > d'une autorité A (caduque mais encore existante) et d'autres serveurs > > d'une autorité B (la nouvelle mise en place)... > > > ... serveurs Linux (Debian)... coexister les deux certificats > > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre > ... > > Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'', > (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer > sur la même IP (machine physique), utilisant chacun sa pair de clef > ssl. Bonsoir, Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 443 pour le HTTPS, on ne peut présenter qu'un seul certificat par port ouvert. En effet comment Apache pourrait négocier la connexion SSL alors que l'URL mentionnait le "virtual host" n'a pas encore été transmise. Pour moi, présenter des certificats différents requièrent d'ouvrir des ports différents. Est-ce juste ou ai-je raté quelque chose ? Bonne soirée -- Yves Martin ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] openssl maintenir deux certificats CA_Root temporairement
On Tue, 2015-11-10 at 20:51 +0100, magnus anderssen wrote: > Non, c'est faux, il y a un proto qui permet de présenter plusieurs > certifs sur une même ip. > -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication) > ça permet d'avoir plusieurs domaines TLS sur une même IP. OK merci... un petit recyclage ne fait pas de mal, j'en étais resté au SSL je crois bien. Dommage que cette page ne précise pas quels navigateurs ne supportent pas le SNI. Voir ici: http://webmasters.stackexchange.com/questions/69710/which-browsers-support-sni Bonne soirée Yves ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] openssl maintenir deux certificats CA_Root temporairement
On 2015-11-10 19:57, Yves Martin wrote: On Mon, 2015-11-09 at 09:49 +0100, felix wrote: On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote: > ... certains serveurs obtiennent leur certificat > d'une autorité A (caduque mais encore existante) et d'autres serveurs > d'une autorité B (la nouvelle mise en place)... > ... serveurs Linux (Debian)... coexister les deux certificats > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre ... Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'', (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer sur la même IP (machine physique), utilisant chacun sa pair de clef ssl. Bonsoir, Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 443 pour le HTTPS, on ne peut présenter qu'un seul certificat par port ouvert. En effet comment Apache pourrait négocier la connexion SSL alors que l'URL mentionnait le "virtual host" n'a pas encore été transmise. Pour moi, présenter des certificats différents requièrent d'ouvrir des ports différents. Est-ce juste ou ai-je raté quelque chose ? Non, c'est faux, il y a un proto qui permet de présenter plusieurs certifs sur une même ip. -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication) ça permet d'avoir plusieurs domaines TLS sur une même IP. Bonne soirée ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] openssl maintenir deux certificats CA_Root temporairement
On 2015-11-10 20:51, magnus anderssen wrote: On 2015-11-10 19:57, Yves Martin wrote: On Mon, 2015-11-09 at 09:49 +0100, felix wrote: On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote: > ... certains serveurs obtiennent leur certificat > d'une autorité A (caduque mais encore existante) et d'autres serveurs > d'une autorité B (la nouvelle mise en place)... > ... serveurs Linux (Debian)... coexister les deux certificats > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre ... Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'', (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer sur la même IP (machine physique), utilisant chacun sa pair de clef ssl. Bonsoir, Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 443 pour le HTTPS, on ne peut présenter qu'un seul certificat par port ouvert. En effet comment Apache pourrait négocier la connexion SSL alors que l'URL mentionnait le "virtual host" n'a pas encore été transmise. Pour moi, présenter des certificats différents requièrent d'ouvrir des ports différents. Est-ce juste ou ai-je raté quelque chose ? Non, c'est faux, il y a un proto qui permet de présenter plusieurs certifs sur une même ip. -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication) ça permet d'avoir plusieurs domaines TLS sur une même IP. Par contre, ça ne résout pas le problème initial. Bonne soirée ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] openssl maintenir deux certificats CA_Root temporairement
On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote: > ... certains serveurs obtiennent leur certificat > d'une autorité A (caduque mais encore existante) et d'autres serveurs > d'une autorité B (la nouvelle mise en place)... > ... serveurs Linux (Debian)... coexister les deux certificats > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre ... Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'', (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer sur la même IP (machine physique), utilisant chacun sa pair de clef ssl. -- Félix Hauri -- http://www.f-hauri.ch ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull