Discussion :

[spinakur]

Bonjour,

j'ai un soucis avec une configuration Apache, voila l'état des lieux :
j'ai 3 sites internet sur un serveur apache, 2 certificats SSL signés et 2 ip publiques différentes.

mon problème est le suivant j'ai créé un certificats SSL et je l'ai mis en place sur un des 2 vhosts pour lesquel le ssl était nécessaire mais pour ce faire j'ai du compléter le fichier ssl.conf dans /etc/httpd/conf.d/ssl.conf pour les lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 SSLCertificateFile /data/System/CSR/xxx.cert
 SSLCertificateKeyFile /data/System/CSR/xxx.pkey

pour le fonctionnement global aucun problème tout fonctionne correctement le HTTPS est bien reconnu et officialisé via les autorités standard.

par contre maintenant je dois rajouter un certificat sur un autre site via une autre ip publique.
bon l'ip je l'ai, le vhost fonctionne sur la nouvelle ip et le site est viable sur la deuxième ip aucun soucis.

le problème vient du certif comment faire pour que les lignes plus hauts soient rajouté plutôt au vhost et non plus au ssl.conf ou alors est-il possible dans le ssl.conf de configurer un nouveau certificat avec une nouvelle clée sans impacter les premiers ?

quelqu'un a-t-il eu la même problématique ?

merci de vos retours.

[Marc3001]

J'ai quelques sites en HTTPS sur mon apache. Il n'y a rien de bien compliqué.
Si tu as 2 IPs distinctes, c'est ce qu'il y a de plus simple, il te suffit de poser tes directives spécifiques au SSL dans tes virtualhosts.

Moi j'ai ces directives pour chaque virtualhost :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
SSLEngine on
SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLCertificateFile /etc/ssl/certs/mon_cert.cert
SSLCertificateKeyFile /etc/ssl/private/mon_cert.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.mon_ca.pem
SSLCACertificateFile /etc/ssl/certs/mon_ca.pem

[spinakur]

[QUOTE=Marc3001;7370248]J'ai quelques sites en HTTPS sur mon apache. Il n'y a rien de bien compliqué.
Si tu as 2 IPs distinctes, c'est ce qu'il y a de plus simple, il te suffit de poser tes directives spécifiques au SSL dans tes virtualhosts.

j'ai rajouté celles-ci dans les miens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 SSLEngine on
SSLProtocol all -SSLv2
SSLHonorCipherOrder on
SSLCipherSuite RC4-SHA:AES128SHA:ALL:!ADH:!EXP:!LOW:!MD5:!SSLV2:!NULL
SSLCertificateFile /data/System/CSR/xxx.cert
SSLCertificateKeyFile /data/System/CSR/xxx.pkey

en fait si je commente les 2 lignes cités dans le premier posts dans le ssl.conf le service refuse de démarrer

[Marc3001]

Quel message d'erreur tu as dans les logs si tu enlèves les lignes du ssl.conf ?

Et ça marche si tu mets la conf dans chaque vhost ?

[spinakur]

aucune idée.. je suis en debug dans les logs et j'obtiens aucune erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
[Mon Jul 01 13:17:35 2013] [debug] proxy_util.c(1936): proxy: initialized single connection worker 0 in child 8543 for (*)
[Mon Jul 01 13:40:21 2013] [info] removed PID file /etc/httpd/run/httpd.pid (pid=8534)
[Mon Jul 01 13:40:21 2013] [notice] caught SIGTERM, shutting down
[Mon Jul 01 13:40:24 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Jul 01 13:40:24 2013] [info] Init: Seeding PRNG with 256 bytes of entropy
[Mon Jul 01 13:40:24 2013] [notice] SSL FIPS mode disabled

je t'avoue que je suis un peut perdu là pour un mode debug il est pas trop loquace mon serveur ..

--edit--

j'ai oublié de répondre à ta question : non le serveur démarre pas même si je mets la conf dans chaque vhost

[Marc3001]

Mais du coup si tu laisses les 2 lignes dans le ssl.conf et que tu configures tes 2 vhost ça fonctionne ?