Config Apache2 et SSL: gestion des certificats

Config Apache2 et SSL: gestion des certificats - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 27-07-2005 à 17:52:39    

Je cherche à optimiser la configuration d un server web apache2 qui n utilise que le SSL.
 
Le serveur fonctionne bien, mais j ai un petit soucis avec mon certificat SSL.
 
En effet, celui ci vérifie le nom de ma machine (hostname) qui est différent du nom de domaine. Du coup, l utilisateur a chq fois un message d alerte sur ce pb, message que j aimerais ne plus avoir.
 
Voici qques lignes de mon httpd.conf (modifié avec des données fake)
 

Code :
  1. NameVirtualHost 111.222.333.444:80
  2. NameVirtualHost 111.222.333.444:443
  3. DocumentRoot /home/htdocs/html
  4. # non secure connection is desactivated
  5. <VirtualHost 111.222.333.444:80 >
  6. ServerName providerhostname.server.info
  7.    ServerAlias myserverdomain.de www.myserverdomain.de
  8. ServerAdmin intranetadmin@myserverdomain.de
  9. Redirect Permanent / https://www.myserverdomain.de/
  10. #Log
  11. ErrorLog /home/htdocs/log/error_nossl.log
  12. TransferLog /home/htdocs/log/access_nossl.log
  13. CustomLog /home/htdocs/log/nossl.log combined
  14. </VirtualHost>
  15. <IfModule mod_ssl.c>
  16. <VirtualHost 111.222.333.444:443 >
  17. ServerName providerhostname.server.info
  18.    ServerAlias myserverdomain.de www.myserverdomain.de
  19. ServerAdmin intranetadmin@myserverdomain.de
  20. DocumentRoot /home/htdocs/html
  21. UseCanonicalName Off
  22. # Allow execution of PHP scripts (.php only for php4)
  23.        AddType application/x-httpd-php .php
  24.        AddType application/x-httpd-php-source .phps
  25.        DirectoryIndex index.htm index.html index.php
  26.      
  27. # SSL
  28. SSLEngine on
  29. SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  30. SSLCertificateFile /etc/apache2/ssl.crt/server.crt
  31. SSLCertificateKeyFile /etc/apache2/ssl.key/server.key
  32. #   Certificate Authority (CA):
  33. SSLCACertificateFile /etc/apache2/ssl.crt/ca-bundle.crt
  34. SSLVerifyClient none
  35. # Downgrade to HTTP 1.0 because of browser broken implementation of HTTP 1.1
  36. #SetEnvIf User-Agent ".*MSIE.*" \
  37. #  nokeepalive ssl-unclean-shutdown \
  38. #  downgrade-1.0 force-response-1.0
  39. #Log
  40. ErrorLog /home/htdocs/log/error_log
  41. TransferLog /home/htdocs/log/access_log
  42. CustomLog /home/htdocs/log/ssl_request_log ssl_combined
  43.    #SuexecUserGroup web0 user
  44.    ScriptAlias /cgi-bin/ /home/htdocs/html/cgi-bin/
  45.    php_admin_value open_basedir /home/htdocs/html/
  46.    php_admin_value file_uploads 1
  47.    php_admin_value upload_tmp_dir /home/htdocs/phptmp/
  48. <Directory "/home/htdocs/html">
  49.  SSLRequireSSL
  50.  php_admin_flag safe_mode off
  51.  AllowOverride All
  52.  Options Indexes SymLinksIfOwnerMatch
  53.  Order allow,deny
  54.  Allow from all
  55. </Directory>
  56. <Directory "/home/htdocs">
  57.   <Files ~ "^\.ht">
  58.     deny from all
  59.   </Files>
  60.   AllowOverride Indexes  AuthConfig Limit  FileInfo
  61.   Options FollowSymLinks Includes
  62. </Directory>
  63. <Directory "/home/htdocs/html">
  64.   Options -FollowSymLinks -SymLinksIfOwnerMatch
  65.   <IfModule mod_access.c>
  66.     Deny from all
  67.   </IfModule>
  68. </Directory>
  69. </VirtualHost>
  70. </IfModule>


 
 
Désolé si c est un peu indigeste. Quelle option dois je rajouté pour ne plus avoir l alerte : "SSL error:host(www.myserverdomain.de)!=cert(providerhostname.server.info)"
 
(message d alerte de lynx, plus explicite que ceux de Firefox ou IE!)


Message édité par Eric B le 28-07-2005 à 16:14:52
Reply

Marsh Posté le 27-07-2005 à 17:52:39   

Reply

Marsh Posté le 28-07-2005 à 16:15:50    

j ai changé le hostname en  www.myserverdomain.de, donc maintenant, hostname et DNS sont les memes.
Mais cela ne résoud pas le pb puisque le certificat est attribué au hostname précédant "providerhostname.server.info"
 
N y a t il pas des experts Apache SSL par ici?

Reply

Marsh Posté le 30-07-2005 à 11:04:16    

Si je me souviens bien le certificat est lié au nom de machine, donc il te faut un mouveau certificat.

Reply

Marsh Posté le 01-08-2005 à 09:59:44    

mais le nom de machine est le bon, c est juste que le nom de domaine diffère.
Il n y a pas moyen par une ligne ds le fichier de conf d apache de demander de verfier le certificat par le nom de machine et non DNS?

Reply

Marsh Posté le 01-08-2005 à 10:37:01    

Quand je dis nom de machine, c'est le FQDN (avec le nom de domaine)
 
Pourquoi ne pas recréer un certificat ?

Reply

Marsh Posté le 01-08-2005 à 10:47:44    

parce que les certificats sont fournis par le provider qui ne les crée qu'à partir du nom de ses machines. Je ne sais pas si on peut contractuellement exiger un certificat au nom de domaine, mais si il n y a pas d autres solutions, il est est clair que je vais leur demander...  
Le site hébergé est un intranet d'entreprise...

Reply

Marsh Posté le 01-08-2005 à 11:52:02    

Si c'est un Intranet tu peux utiliser une autorité de certifaction privée (cad géré par l'entreprise), cela permet de gérer comme on veut les certificats, par contre il est préférable que cette autorité soit déclaré au niveau du navigateur pour que cela soit transparent pour l'utilisateur.

Reply

Marsh Posté le 01-08-2005 à 17:50:25    

comment ca géré par l entreprise? C est quoi cette autorité?
 
Déclarer au niveau du navigateur, ca veut dire quoi?
 
S'agit t il de certificat auto signés ou est ce encore autre chose?

Reply

Marsh Posté le 02-08-2005 à 16:08:11    

Je ne rentre pas dans le détail car c'est un sujet très vaste.
 
l'autorité de certification, c'est entité qui délivre les certificats, au lieu de ce soit une société externe qui te génère les certificats, cela peut être géré en interne, mais ce n'est valable que si l'entreprise utilise énorméments les certificats (genre infrastructure à clé publique) sinon cela fait beaucoup de travail pour quelques pauvres certificats.
 
Au niveau du navigateur, tu peux spécifier les autorités de certifications (ceux qui délivre les certificats) qui sont acceptés sans demande de confirmation par l'utilsateur. Moins on demande de chose à l'utilisateur, mieux c'est.
 
Les certificats auto signés peuvent être utilisés dans le cas d'autorités de certif internes.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed