virtualhost ssl / non-ssl [Résolu]

Ishvara · 15/09/2011, 12h00

Bonjour !
Je souhaiterais quérir votre aide concernant un problème que je traîne depuis longtemps avec mes hôtes virtuels.
Je viens de migrer mon serveur dédié (debian 6.0), tout reconfiguré apache (2.2.16) etc.

Tout marche bien excepté ceci :
Tout appel en HTTPS sur un VirtualHost non SSL redirige la page vers la racine du VirtualHost dédié au SSL !!
Pareil pour les alias qui pourtant ne sont définis que dans le VH SSL.
Cela me dérange car j'aimerais bien séparer toute la partie SSL, exemples :
- Pour joindre un VH 80 normal --> http://www.domaine1.fr, ou http://forum.domaine2.net (chacun ayant son VH)
- Pour joindre une appli sécurisée --> https://secure.domaine2.net/alias-appli-ssl
Hors là si je tente : httpS://www.domaine1.fr/alias-appli-ssl ça débouche bien sur l'appli !! J'aimerais que toute la partie SSL ne soit joignable QUE par l'adresse https://secure.domaine2.net/alias-appli-ssl

Je détaille un peu :
- J'ai 2 domaines + celui réservé à ma dedibox (donc nom_du_serveur.dedibox.fr)
- J'ai une seule @IP
- Mes VirtualHosts sont agencés de la manière suivante :
--> VH 80 par défaut (mais basé sur le nom serveur.dedibox.fr et non "_default_:80")
- adresse : mon @IP
- port : 80
- nom du serveur : serveur.dedibox.fr
--> VH 443 par défaut (activé pour test default-ssl et laissé tel quel)
--> 3 VH 80 configurés comme celui par défaut, pointant vers par exemple /var/www/site1, /var/www/site2, /var/www/site3
et avec comme nom de serveur le sous domaine approprié : www.domaine1.fr, forum.domaine1.fr, forum2.domaine2.net
--> VH 443 (SSL) dédié dont je parlais au début
- adresse : mon @IP
- port : 443
- nom du serveur : secure.domaine2.net
- racine : /var/zone_secure
- Alias : différents alias pointant vers différentes applis ailleurs sur le serveur

- Dans le VH 80 par défaut j'ai aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
NameVirtualHost @IP:80
NameVirtualHost secure.domaine2.net:443

- Et dans le ports.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Listen 80
<ifmodule mod_ssl.c>
Listen 443
</ifmodule>

Voilà je sais pas si tout ça est suffisamment clair, en tout cas si vous avez des idées je suis preneur !
Merci !!

_Mac_ · 15/09/2011, 14h40

Citation:

Envoyé par Ishvara

Tout appel en HTTPS sur un VirtualHost non SSL redirige la page vers la racine du VirtualHost dédié au SSL !!

C'est normal, c'est le comportement du module mod_ssl. Il faut utiliser le GNU mod_tls ou faire du virtual hosting mais en écoutant sur une IP ou un port spécifique à chaque VH.

Ishvara · 15/09/2011, 15h39

Citation:

C'est normal, c'est le comportement du module mod_ssl. Il faut utiliser le GNU mod_tls ou faire du virtual hosting mais en écoutant sur une IP ou un port spécifique à chaque VH.

Merci pour ta réponse !!
Si je comprends bien je n'ai pas trop le choix que de de prendre une autre adresse IP. Mod_tls j'ai vu que ça m'avait l'air assez lié au FTP, je ne sais pas trop comment utiliser ça.

Bon vu que je pouvais prendre une IP failover je l'ai commandée, maintenant faut que j'arrive à la configurer ^^

Je suis malgré tout un peu étonné qu'on ne puisse pas mettre une condition du genre :
- Soit qui interdit l'appel en HTTPS sur les VH 80 (et évite donc la redirection vers le VH 443)
- Soit qui contrôle que l'accès au VH 443 s'est bien fait par le domaine https://secure.domaine2.net faute de quoi --> echec.

_Mac_ · 15/09/2011, 18h44

Tu peux toujours faire un contrôle a posteriori mais il n'empêche que tu seras bloqué : il n'y aura toujours qu'un seul VH en SSL qui marchera pour un couple (IP, port) donné.

Ishvara · 16/09/2011, 08h02

Je vois

Bon ben en tout cas problème résolu, grâce une petite adresse IP failover configurée en interface virtuelle sur la même carte.
Puis changement dans le DNS pour faire pointer les sous-domaines appropriés sur la nouvelle @IP, mappage des nouveaux VH, tout marche impecc, ENFIN quand je tape httpS://www.domaine1.fr ça me donne une erreur au lieu de me renvoyer sur le https://secure.domaine2.net.
J'ai même pu du coup faire 2 VH en SSL différents ! top moumoute !
Bon tout ça pour 1 € de plus par mois, et une solution que je prévoyais pas mais au moins c'est carré !

Merci pour l'aide !

Dernière petite question dérivée de ce sujet : dans mon fichier hosts j'ai notamment :
@IP principale nom_d'hôte_FQDN nom_d'hôte (server.dedibox.fr server)

Ai-je bien fait de rajouter ma nouvelle @IP failover de la même façon dans le hosts ?
--> @IP2 server.dedibox.fr server

_Mac_ · 16/09/2011, 13h32

Cette seconde configuration ne sert à rien : l'IP qui sera associée au nom server.dedibox.fr ou server sera la première IP rencontrée dans le fichier, jamais la seconde.

Ishvara · 16/09/2011, 14h27

Je prends note merci encore

15/09/2011, 18h44	#4
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 295 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 295 Points : 8 575 Points : 8 575	Tu peux toujours faire un contrôle a posteriori mais il n'empêche que tu seras bloqué : il n'y aura toujours qu'un seul VH en SSL qui marchera pour un couple (IP, port) donné. __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

16/09/2011, 13h32	#6
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 295 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 295 Points : 8 575 Points : 8 575	Cette seconde configuration ne sert à rien : l'IP qui sera associée au nom server.dedibox.fr ou server sera la première IP rencontrée dans le fichier, jamais la seconde. __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

16/09/2011, 08h02	#5
Ishvara Invité de passage Administrateur systèmes et réseaux Inscription : septembre 2011 Messages : 4 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Communication - Médias Informations forums : Inscription : septembre 2011 Messages : 4 Points : 0 Points : 0	Je vois Bon ben en tout cas problème résolu, grâce une petite adresse IP failover configurée en interface virtuelle sur la même carte. Puis changement dans le DNS pour faire pointer les sous-domaines appropriés sur la nouvelle @IP, mappage des nouveaux VH, tout marche impecc, ENFIN quand je tape httpS://www.domaine1.fr ça me donne une erreur au lieu de me renvoyer sur le https://secure.domaine2.net. J'ai même pu du coup faire 2 VH en SSL différents ! top moumoute ! Bon tout ça pour 1 € de plus par mois, et une solution que je prévoyais pas mais au moins c'est carré ! Merci pour l'aide ! Dernière petite question dérivée de ce sujet : dans mon fichier hosts j'ai notamment : @IP principale nom_d'hôte_FQDN nom_d'hôte (server.dedibox.fr server) Ai-je bien fait de rajouter ma nouvelle @IP failover de la même façon dans le hosts ? --> @IP2 server.dedibox.fr server
	00

16/09/2011, 14h27	#7
Ishvara Invité de passage Administrateur systèmes et réseaux Inscription : septembre 2011 Messages : 4 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Communication - Médias Informations forums : Inscription : septembre 2011 Messages : 4 Points : 0 Points : 0	Je prends note merci encore
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email