Certificats multiples pour un seul site

[hellnino]

Bonjour à tous,

Voici mon problème. Je veux mettre de l'https au sein de mon LAN pour un site web que nous appelerons "mysite". En interne, nous pouvons accéder à ce site via les adresses suivantes :
- mysite.domain.fr
- mysite.domain.net
- mysite

Sachant que je veux mettre un certificat valide, ma configuration est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
NameVirtualHost mysite:443
NameVirtualHost mysite:80
<VirtualHost mysite.domain.fr:443>
        ServerAdmin mail@domain.tld
        ServerName mysite.domain.fr
        AddType application/x-java-jnlp-file .jnlp
        DirectoryIndex index.html index.php proxy.html
        DocumentRoot /var/www
        Options +Indexes +FollowSymLinks
        SSLEngine On
        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
        SSLCertificateFile /etc/ssl/certs/cert-fr.crt
        SSLCertificateKeyFile /etc/ssl/private/cert-fr.key
        <Directory /var/www>
               Order allow,deny
               Allow from All
        </Directory>
</VirtualHost>
<VirtualHost mysite.domain.net:443>
        ServerAdmin mail@domain.tld
        ServerName mysite.domain.net
        AddType application/x-java-jnlp-file .jnlp
        DirectoryIndex index.html index.php proxy.html
        DocumentRoot /var/www
        Options +Indexes +FollowSymLinks
        SSLEngine On
        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
        SSLCertificateFile /etc/ssl/certs/cert-net.crt
        SSLCertificateKeyFile /etc/ssl/private/cert-net.key
        <Directory /var/www>
                Order allow,deny
                Allow from All
        </Directory>
</VirtualHost>
<VirtualHost mysite:443>
        #ServerAdmin mail@domain.tld
        ServerName mysite
        #DirectoryIndex index.html index.php proxy.html
        #AddType application/x-java-jnlp-file .jnlp
        #DocumentRoot /var/www
        #Options +Indexes +FollowSymLinks
        Redirect / https://mysite.domain.net/
        SSLEngine On
        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
        SSLCertificateFile /etc/ssl/certs/cert.crt
        SSLCertificateKeyFile /etc/ssl/private/cert.key
        <Directory /var/www>
              Order allow,deny
              Allow from All
        </Directory>
</VirtualHost>
<VirtualHost mysite.domain.domain.fr:80>
        Redirect / https://mysite.domain.net/
</VirtualHost>

Donc j'ai un Virtualhost par site possible. J'aimerais savoir s'il y a d'autres manières de faire ? plus propres, plus concises et qui ne me ferait utiliser qu'un seul certificat ?

Merci d'avance pour vos réponses.

[_Mac_]

Une 'tite recherche Google, peut-être ?

[hellnino]

Le soucis ici c'est plus pour l'interne comme je l'ai expliqué. J'ai déjà fait une manip, ça marchait à peu près, je voulais juste l'avis des experts d'apache pour me dire s'ils connaissaient de meilleures solutions ou non ?

[_Mac_]

Si je comprends bien, avec ta conf et ton certificat actuels, si tu accèdes à ton Apache avec tes différents noms, tu dois avoir des avertissements de la part du navigateur indiquant que le certificat n'est pas valide et il demande de confirmer l'accès au site. Est-ce que je me trompe ? Si non, en interne, ce n'est pas un comportement acceptable ?

Pour info, je ne sais pas comment générer un certificat auto-signé pour plusieurs domaines, mais quoi qu'il en soit, avec un certificat auto-signé, tu auras toujours un avertissement du navigateur comme je le décris plus haut. Donc si ce n'est pas pas acceptable, soit tu devras installer dans tous les navigateurs du réseau local ton certificat auto-signé pour qu'il soit reconnu "naturellement" par les navigateurs, soit tu devras acheter un vrai certificat.

[hellnino]

Ce sont des certificats créées par notre CA Windows. Du coup par gpo on a indiqué que l'on faisait confiance au CA et à ses subordonnés. Cela a trés bien marché la première semaine, et d'un coup (cela ne le fait pas sur tous les postes). Si je tape sur mon domaine domain.net, il gueule en me disant que Apache lui présente le certificat du domain.fr... C'est plutôt étrange.

[_Mac_]

Pourquoi ce serait étrange ? Avec mod_ssl, Apache ne sait pas gérer plusieurs hôtes virtuels en HTTPS utilisant le même couple (IP, port). Si tu configures plusieurs VH sur *:443, Apache n'utilisera finalement que le premier VH qu'il trouve dans sa conf et qui matche ce *:443. Donc soit tu peux faire du certificat multi-site, soit tu as plusieurs certificats (un pour chaque nom ou domaine) et dans ce cas, il faut avoir autant de couple (IP, port) que tu sa de site (si faire figurer un port dans l'URL https://... n'est pas acceptable, il te faudra avoir plusieurs IP sur ton serveur : une IP par VH).

[hellnino]

Ok _Mac_, merci pour ta réponse, mais dans ce cas là comment expliquer le fait que pendant 1 ou 2 semaine cela fonctionnait sans problème, et que d'un coup il ne présente plus que celui en .fr ?

Du coup il serait donc préférable que je créé des IP virtuelles sur mon serveur...

[_Mac_]

Je ne sais pas. Je dirais que cela vient d'une modification de la configuration d'Apache. Ou alors les certificats poussés dans les navigateurs ont changé ou l'un d'eux a expiré. Honnêtement, je ne sais pas.