subject:"\[gull\] openssl maintenir deux certificats CA

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-13 Par sujet TISSOT Jacques

Bonjour,

En fait il s'agissait plutôt de ldap que de apache... Et j'ai trouvé que :

/etc/ssl/certs:~$ cat CA_file.pem CA_NEW_file.pem > CA_bundle.pem

Puis ldap.conf:

TLS_CACERT  /etc/ssl/certs/CA_bundle.pem

La concaténation des deux certificats permettait de satisfaire à la demande des 
deux certificats, même s'ils n'ont rien avoir à faire ensemble !!

Victoire et ouf!

Merci pour vos réponses.

Jacques

> -Original Message-
> From: gull [mailto:gull-boun...@forum.linux-gull.ch] On Behalf Of magnus
> anderssen
> Sent: mardi 10 novembre 2015 20:52
> To: Gull, liste de discussion
> Subject: Re: [gull] openssl maintenir deux certificats CA_Root
> temporairement
> 
> 
> 
> On 2015-11-10 19:57, Yves Martin wrote:
> > On Mon, 2015-11-09 at 09:49 +0100, felix wrote:
> >> On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote:
> >> > ... certains serveurs obtiennent leur certificat d'une autorité A
> >> > (caduque mais encore existante) et d'autres serveurs d'une autorité
> >> > B (la nouvelle mise en place)...
> >>
> >> > ... serveurs Linux (Debian)... coexister les deux certificats que
> >> > les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre
> >> ...
> >>
> >> Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
> >> (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais
> >> pointer sur la même IP (machine physique), utilisant chacun sa pair
> >> de clef ssl.
> >
> >  Bonsoir,
> >
> > Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le
> > 443
> > pour le HTTPS, on ne peut présenter qu'un seul certificat par port
> > ouvert.
> >
> > En effet comment Apache pourrait négocier la connexion SSL alors que
> > l'URL mentionnait le "virtual host" n'a pas encore été transmise.
> >
> > Pour moi, présenter des certificats différents requièrent d'ouvrir des
> > ports différents.
> >
> > Est-ce juste ou ai-je raté quelque chose ?
> 
> 
> Non, c'est faux, il y a un proto qui permet de présenter plusieurs certifs
> sur une même ip.
> 
> -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication)
> 
> ça permet d'avoir plusieurs domaines TLS sur une même IP.
> 
> 
> >
> > Bonne soirée
> ___
> gull mailing list
> gull@forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull
___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-10 Par sujet Yves Martin

On Mon, 2015-11-09 at 09:49 +0100, felix wrote:
> On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote:
> > ... certains serveurs obtiennent leur certificat 
> > d'une autorité A (caduque mais encore existante) et d'autres serveurs 
> > d'une autorité B (la nouvelle mise en place)...
> 
> > ... serveurs Linux (Debian)... coexister les deux certificats
> > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre 
> ...
> 
> Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
> (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer
> sur la même IP (machine physique), utilisant chacun sa pair de clef
> ssl.

 Bonsoir,

Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 443
pour le HTTPS, on ne peut présenter qu'un seul certificat par port
ouvert.

En effet comment Apache pourrait négocier la connexion SSL alors que
l'URL mentionnait le "virtual host" n'a pas encore été transmise.

Pour moi, présenter des certificats différents requièrent d'ouvrir des
ports différents.

Est-ce juste ou ai-je raté quelque chose ?

Bonne soirée
-- 
Yves Martin

___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-10 Par sujet Yves Martin

On Tue, 2015-11-10 at 20:51 +0100, magnus anderssen wrote:

> Non, c'est faux, il y a un proto qui permet de présenter plusieurs 
> certifs sur une même ip.
> -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication)
> ça permet d'avoir plusieurs domaines TLS sur une même IP.

OK merci... un petit recyclage ne fait pas de mal, j'en étais resté au
SSL je crois bien.

Dommage que cette page ne précise pas quels navigateurs ne supportent
pas le SNI. Voir ici:
http://webmasters.stackexchange.com/questions/69710/which-browsers-support-sni

Bonne soirée
Yves

___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-10 Par sujet magnus anderssen

On 2015-11-10 19:57, Yves Martin wrote:

On Mon, 2015-11-09 at 09:49 +0100, felix wrote:

On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote:
> ... certains serveurs obtiennent leur certificat
> d'une autorité A (caduque mais encore existante) et d'autres serveurs
> d'une autorité B (la nouvelle mise en place)...

> ... serveurs Linux (Debian)... coexister les deux certificats
> que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre
...

Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
(machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer
sur la même IP (machine physique), utilisant chacun sa pair de clef
ssl.

 Bonsoir,

Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 
443

pour le HTTPS, on ne peut présenter qu'un seul certificat par port
ouvert.

En effet comment Apache pourrait négocier la connexion SSL alors que
l'URL mentionnait le "virtual host" n'a pas encore été transmise.

Pour moi, présenter des certificats différents requièrent d'ouvrir des
ports différents.

Est-ce juste ou ai-je raté quelque chose ?

Non, c'est faux, il y a un proto qui permet de présenter plusieurs 
certifs sur une même ip.

-> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication)

ça permet d'avoir plusieurs domaines TLS sur une même IP.

Bonne soirée

___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-10 Par sujet magnus anderssen

On 2015-11-10 20:51, magnus anderssen wrote:

On 2015-11-10 19:57, Yves Martin wrote:

On Mon, 2015-11-09 at 09:49 +0100, felix wrote:

On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote:
> ... certains serveurs obtiennent leur certificat
> d'une autorité A (caduque mais encore existante) et d'autres serveurs
> d'une autorité B (la nouvelle mise en place)...

> ... serveurs Linux (Debian)... coexister les deux certificats
> que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre
...

Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
(machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais 
pointer

sur la même IP (machine physique), utilisant chacun sa pair de clef
ssl.

 Bonsoir,

Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 
443

pour le HTTPS, on ne peut présenter qu'un seul certificat par port
ouvert.

En effet comment Apache pourrait négocier la connexion SSL alors que
l'URL mentionnait le "virtual host" n'a pas encore été transmise.

Pour moi, présenter des certificats différents requièrent d'ouvrir des
ports différents.

Est-ce juste ou ai-je raté quelque chose ?

Non, c'est faux, il y a un proto qui permet de présenter plusieurs
certifs sur une même ip.

-> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication)

ça permet d'avoir plusieurs domaines TLS sur une même IP.

Par contre, ça ne résout pas le problème initial.

Bonne soirée

___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

2015-11-09 Par sujet felix

On Mon, Nov 02, 2015 at 04:09:25PM +, TISSOT Jacques wrote:
> ... certains serveurs obtiennent leur certificat 
> d'une autorité A (caduque mais encore existante) et d'autres serveurs 
> d'une autorité B (la nouvelle mise en place)...

> ... serveurs Linux (Debian)... coexister les deux certificats
> que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre 
...

Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
(machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais pointer
sur la même IP (machine physique), utilisant chacun sa pair de clef
ssl.

-- 
 Félix Hauri  -    -  http://www.f-hauri.ch
___
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

Re: [gull] openssl maintenir deux certificats CA_Root temporairement

6 matches

Site Navigation

Mail list logo

Footer information