Discussion :

[llusca]

Bonjour,

Je cherche à configurer un apache en proxy pour qu'il forwarde les requêtes https en entrée vers un autre serveur sans décrypter la trame (pas de rupture ssl).

Je n'arrive pas à configurer de virtualhost en mod proxy pour réaliser cela correctement.
J'obtiens toujours une erreur:

SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

(Code d'erreur : ssl_error_rx_record_too_long)

et dans les logs:

[Wed Jun 12 16:48:55 2013] [error] proxy: HTTPS: failed to enable ssl support for 192.168.243.15:62227 (XXXX.com)

J'imagine qu'il n'est pas passible de faire du proxy forward transparent sur des requêtes https.

Cordialement,
Eric LLUSCA

[_Mac_]

Qu'est-ce que tu appelles "proxy forward transparent" ? C'est du vrai proxy que tu veux faire ou du reverse proxy ?

[llusca]

Qu'est-ce que tu appelles "proxy forward transparent" ? C'est du vrai proxy que tu veux faire ou du reverse proxy ?

Je cherche à faire du simple proxy.

Le but c'est qu'apache fasse simplement le "passe plat": des requêtes https lui arrivent et il les fait suivre sans les décrypter (ce choix m'est imposé).

Veux-tu que je te fasse parvenir mes config (anonymisées) ?

Eric.

[Marc3001]

Pour pouvoir connaître la destination de la requête et ajouter son IP dans le header de la trame HTTP ton reverse doit obligatoirement décrypter les trames...

Par contre rien n'empêche d'avoir du HTTPS du client vers le proxy et du HTTPS avec un autre certif (donc nouvelle encryption) du proxy vers le serveur applicatif....

SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

(Code d'erreur : ssl_error_rx_record_too_long)

T'es sûr que c'est bien du HTTPS sur ton serveur applicatifs ? J'ai déjà eu ce genre d'erreur en essayant de décrypter un flux non encrypté.

[llusca]

T'es sûr que c'est bien du HTTPS sur ton serveur applicatifs ? J'ai déjà eu ce genre d'erreur en essayant de décrypter un flux non encrypté.

Je suis certain.
En fait de serveur applicatif, j'ai mis un autre apache qui sert une page statique (index.html) et je redirige mon apache proxy vers le port ssl de ce deuxième apache.

Lorsque j'attaque le deuxième apache avec firefox, je vois bien l'échange de certificats.

Eric LLUSCA.

Je prépare mes conf, pour être plus parlant.