Certif SSL pour des domaines multiples sous apache2

Certif SSL pour des domaines multiples sous apache2 - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 26-10-2006 à 16:40:46    

Bonjour
 
J'ai deux sites ssl a heberger en interne (sous apache2 avec des virtuals hosts par nom) et comme ssl ne supporte pas les virtualhosts par nom, j'essaie de trouver une solution.  [:petrus75]  
 
J'aimerais un certificat ssl pour chaque site : site1 et site2 et que le navigateur ne signale pas de probleme de certificat.
 
Il existe une solution que je connais, faire des @ip virtuelles, des vhost par IP et generer un certificats ssl pour chaque site.  [:dawao]  
 
Cependant j'aimerais utiliser une autre solution, par nom, avec un certificat ssl répondant pour plusieurs adresses  [:petrus75]  
 
J'ai donc utilisé la proprieté subjectAltName lors de la génération du certificat (avec apache2-ssl-certificate par exemple). En voici le code :
 

Code :
  1. RANDFILE                = $ENV::HOME/.rnd
  2. [ req ]
  3. default_bits            = 1024
  4. default_keyfile         = privkey.pem
  5. distinguished_name      = req_distinguished_name
  6. x509_extensions         = v3_ca
  7. [ v3_ca ]
  8. subjectAltName          = critical,DNS:site1.xx.fr, DNS:site2.xx.fr
  9. [ req_distinguished_name ]
  10. countryName                     = Country Name (2 letter code)
  11. countryName_default             = GB
  12. countryName_min                 = 2
  13. countryName_max                 = 2
  14. stateOrProvinceName             = State or Province Name (full name)
  15. stateOrProvinceName_default     = Some-State
  16. localityName                    = Locality Name (eg, city)
  17. organizationName                = Organization Name (eg, company; recommended)
  18. organizationName_max            = 64
  19. organizationalUnitName          = Organizational Unit Name (eg, section)
  20. organizationalUnitName_max      = 64
  21. commonName                      = server name (eg. ssl.domain.tld; required!!!)
  22. commonName_max                  = 64
  23. emailAddress                    = Email Address
  24. emailAddress_max                = 40


 
Ensuite pour chaque vhost, je colle le lien vers le certificat. Voici un exemple :
 

Code :
  1. <VirtualHost 172.20.5.x:443>
  2.         ServerAdmin webmaster@localhost
  3.         ServerName site1.xx.fr
  4.         DocumentRoot /var/www/xx/
  5.         SSLEngine On
  6.         SSLCertificateFile /etc/apache2/ssl/apache.pem


 
Alors le probleme en fait...
 
Sous IE ca marche bien, il me reconnait bien le champ "autre nom de l'objet" et m'indique bien site1.xx.fr et site2.xx.fr (pas de warning) mais sous Firefox cela ne marche pas ! Il repere bien la proprieté "autre nom" mais cela ne marche pas, il me donne un warning (comme quoi les noms ne correspondent pas, ie je me connecte sur le site2 et il me dit que le certificat est pr le site1) !!!!?  A quoi cela est il du ? Comment faire marcher ca ??
 
merci


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 16:40:46   

Reply

Marsh Posté le 26-10-2006 à 17:24:23    

Bon en image :o
 
IE ca marche
 
http://doc.fc.free.fr/ie.jpg
 
Bieng  [:petrus75]  
 
Sous FF 1.5x
 
http://doc.fc.free.fr/ff.jpg
 
pas bieng  [:cybersonic]
 
D'ou vient le probleme ? Du navigateur ou de ma facon de generer le certif ?


Message édité par hfrfc le 26-10-2006 à 17:29:08

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 18:15:56    

Tu veut que tes navigateurs ne "signalent pas de probleme de certificat".
 
Or, tu gènere toi même tes certificats, (autorité qui gènere le cerfificat = ce pour qui le certificat est généré). Donc, sauf acceptation définitive par le client, tu aura toujours ce message d'erreur...
 
Deuxiemement, part toujours du principe que Firefox respecte mieux les normes que IE (css, js, xhtml, ...), donc si sa passe sous IE, c'est qu'il est plus tolerant que FFox. Et tolérance <> sécurité.
 
EDIT
De mémoire, les certifs de Verisign sont à 1000 € par ans.  :sol:


Message édité par HDSDI le 26-10-2006 à 18:17:05
Reply

Marsh Posté le 26-10-2006 à 19:06:34    

Nan c'est pas le probleme d'etre auto signé qui me gène, c'est le probleme de warning au niveau du nom du site, qui n'apparait pas sous IE, mais sous FF !  
Concretement j'ai l'impression que IE comprend qu'il s'agit d'un certificat avec des alias, et FF non   [:cybersonic]


Message édité par hfrfc le 26-10-2006 à 19:07:51

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 19:27:10    

et pourquoi ne génerais tu pas un certificat du style *.tondomaine.fr ?


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-10-2006 à 19:55:19    

Oui j'ai essayé ainsi que les (xxx1|xxx2).yyy.fr
 
Mais je pense que ca ne vient pas de ma config. Si on va sur ce site avec FF:
https://en.wiki.aktivix.org/CAcert
Et qu'on examine le certificat, il y a le meme probleme (nom incorrect), alors que justement cette demo devrait montrer le contraire... Sous IE ca marche..


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 19:56:44    

*.tondomaine.fr ca marche pour moi :)

Reply

Marsh Posté le 26-10-2006 à 20:25:13    

hfrfc a écrit :

Oui j'ai essayé ainsi que les (xxx1|xxx2).yyy.fr
 
Mais je pense que ca ne vient pas de ma config. Si on va sur ce site avec FF:
https://en.wiki.aktivix.org/CAcert
Et qu'on examine le certificat, il y a le meme probleme (nom incorrect), alors que justement cette demo devrait montrer le contraire... Sous IE ca marche..


c'est marrant parce que chez moi cela fonctionne sans problème.


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-10-2006 à 20:38:48    

M300A a écrit :

*.tondomaine.fr ca marche pour moi :)


 
Tu modifies les fichiers de ssl ou tu mets juste ton cn = *.xxx.fr ?
 

mikala a écrit :

c'est marrant parce que chez moi cela fonctionne sans problème.


 
moi j'ai ca... ce qui n'est pas vraiment rassurant pour l'utilisateur (url differente du nom du site pour lequel le certif est etabli). Avec un certif unique (sans serveralias ou vhost) tu n'as pas ca.  
 
http://doc.fc.free.fr/ff2.jpg


Message édité par hfrfc le 26-10-2006 à 20:40:57

---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 20:56:39    

et pourtant la bonne réponse c'est la réponse une que tu n'as pas entourée :)
Tu ne reconnais tout simplement pas Cacert comme Autorité de certification .


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-10-2006 à 20:56:39   

Reply

Marsh Posté le 26-10-2006 à 21:17:55    

Ce n'est pas le probleme la CA (surtout que j'utilise des certif auto signé) ! Ce qui me pose probleme c'est le reste, le warning au niveau du nom. J'ai le meme pb avec mes sites.


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 22:00:35    

dans le cas que tu viens de montrer   aktivix.org , le message d'erreur est lié au fait que Firefox ne reconnaisse pas (par défaut ) Cacert comme Autorité de certification . C'est tout , cela s'arrete là .
De même si tu utilises des certificats auto signés il est évident qu'un navigateur digne de ce nom hurlera a la mort si un certain nombre de mesures ne sont pas respectés .
Utiliser un chiffrage tls/ssl en ayant des paramêtres invalides *doit* entrainer un avertissement pour l'utilisateur du navigateur .
C'est comme cela.
Si Internet Explorer ne respecte pas ce genre de choses c'est son problème .
Tu es en train de reprocher a Firefox de ne pas disposer des memes stupidités de fonctionnement ...


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-10-2006 à 22:17:23    

Bon tu as mal lu ce que j'ai indiqué, tant pis. Je suis pas idiot, je sais bien comment ca marche les certificats. Mon probleme ne concerne pas du tout sur ce warning lié à la CA, mais sur les autres warning indiqué par firefox (et pas sous IE, alerte des certificats auto signés mis à part). Merci quand meme, mais mon souci est autre  :hello:


---------------
D3/Hots/Hs Doc#2847
Reply

Marsh Posté le 26-10-2006 à 23:41:00    

précises alors mieux ton problème .
que reproches tu a firefox ? d'établir une liste de warnings sans précision ?


---------------
Intermittent du GNU
Reply

Marsh Posté le 27-10-2006 à 00:04:32    

hfrfc a écrit :

Mon probleme ne concerne pas du tout sur ce warning lié à la CA, mais sur les autres warning indiqué par firefox (et pas sous IE, alerte des certificats auto signés mis à part)


En + clair, tu reproche à Firefox d'être plus parano que IE au niveau de la sécurité.
Imagine qu'au lieu de metre site.xxx.com tu mettait un nom de banque et qu'il ny avait pas d'alerte :ouch: (fishing)
 
Mon avis serait qu'il n'y a qu'une seule boite de dialogue sous FFox pour signaler un pb de secu SSL, et quelque soit la raison du problème.

Reply

Marsh Posté le 27-10-2006 à 18:51:46    

Je vois exactement de quoi tu parles, mais pourquoi tu nous fais pas un screen du second warning ????
 
Le premier est dû au fait que ton serveur n'est pas concidéré comme autorité de certification.
 
Le suivant vient du fait que ton vhost ne récupère pas le bon certificat.
 
J'ai ouvert un topic il y quelques temps, mais j'ai toujours pas trouvé la solution... La seule solution que j'avais c'était de gèrer les alias sur un seul domaine... Mais bon, il faut surement creuser autour d'apache, il doit pouvoir le gérer.


Message édité par kartnico le 27-10-2006 à 18:52:30
Reply

Marsh Posté le 28-10-2006 à 20:47:47    

Voila le vhost ne recupere pas le bon certificat,  c ca mon pb, merci ;) ca marche sous ie et pas sous ff...
apparement il n existe pas de solution sauf vhost par ip + multiple certif (ca ca marche c sur)!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed