Discussion :

[spinakur]

Bonjour,

j'ai un soucis avec une configuration Apache, voila l'état des lieux :
j'ai 3 sites internet sur un serveur apache, 2 certificats SSL signés et 2 ip publiques différentes.

mon problème est le suivant j'ai créé un certificats SSL et je l'ai mis en place sur un des 2 vhosts pour lesquel le ssl était nécessaire mais pour ce faire j'ai du compléter le fichier ssl.conf dans /etc/httpd/conf.d/ssl.conf pour les lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 SSLCertificateFile /data/System/CSR/xxx.cert
 SSLCertificateKeyFile /data/System/CSR/xxx.pkey

pour le fonctionnement global aucun problème tout fonctionne correctement le HTTPS est bien reconnu et officialisé via les autorités standard.

par contre maintenant je dois rajouter un certificat sur un autre site via une autre ip publique.
bon l'ip je l'ai, le vhost fonctionne sur la nouvelle ip et le site est viable sur la deuxième ip aucun soucis.

le problème vient du certif comment faire pour que les lignes plus hauts soient rajouté plutôt au vhost et non plus au ssl.conf ou alors est-il possible dans le ssl.conf de configurer un nouveau certificat avec une nouvelle clée sans impacter les premiers ?

quelqu'un a-t-il eu la même problématique ?

merci de vos retours.

[Marc3001]

J'ai quelques sites en HTTPS sur mon apache. Il n'y a rien de bien compliqué.
Si tu as 2 IPs distinctes, c'est ce qu'il y a de plus simple, il te suffit de poser tes directives spécifiques au SSL dans tes virtualhosts.

Moi j'ai ces directives pour chaque virtualhost :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
SSLEngine on
SSLProtocol +TLSv1.2 +TLSv1.1 +TLSv1 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLCertificateFile /etc/ssl/certs/mon_cert.cert
SSLCertificateKeyFile /etc/ssl/private/mon_cert.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.mon_ca.pem
SSLCACertificateFile /etc/ssl/certs/mon_ca.pem

[spinakur]

[QUOTE=Marc3001;7370248]J'ai quelques sites en HTTPS sur mon apache. Il n'y a rien de bien compliqué.
Si tu as 2 IPs distinctes, c'est ce qu'il y a de plus simple, il te suffit de poser tes directives spécifiques au SSL dans tes virtualhosts.

j'ai rajouté celles-ci dans les miens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 SSLEngine on
SSLProtocol all -SSLv2
SSLHonorCipherOrder on
SSLCipherSuite RC4-SHA:AES128SHA:ALL:!ADH:!EXP:!LOW:!MD5:!SSLV2:!NULL
SSLCertificateFile /data/System/CSR/xxx.cert
SSLCertificateKeyFile /data/System/CSR/xxx.pkey

en fait si je commente les 2 lignes cités dans le premier posts dans le ssl.conf le service refuse de démarrer

[Marc3001]

Quel message d'erreur tu as dans les logs si tu enlèves les lignes du ssl.conf ?

Et ça marche si tu mets la conf dans chaque vhost ?

[spinakur]

aucune idée.. je suis en debug dans les logs et j'obtiens aucune erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
[Mon Jul 01 13:17:35 2013] [debug] proxy_util.c(1936): proxy: initialized single connection worker 0 in child 8543 for (*)
[Mon Jul 01 13:40:21 2013] [info] removed PID file /etc/httpd/run/httpd.pid (pid=8534)
[Mon Jul 01 13:40:21 2013] [notice] caught SIGTERM, shutting down
[Mon Jul 01 13:40:24 2013] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
[Mon Jul 01 13:40:24 2013] [info] Init: Seeding PRNG with 256 bytes of entropy
[Mon Jul 01 13:40:24 2013] [notice] SSL FIPS mode disabled

je t'avoue que je suis un peut perdu là pour un mode debug il est pas trop loquace mon serveur ..

--edit--

j'ai oublié de répondre à ta question : non le serveur démarre pas même si je mets la conf dans chaque vhost

[Marc3001]

Mais du coup si tu laisses les 2 lignes dans le ssl.conf et que tu configures tes 2 vhost ça fonctionne ?

[spinakur]

Mais du coup si tu laisses les 2 lignes dans le ssl.conf et que tu configures tes 2 vhost ça fonctionne ?

oui oui ça, ça fonctionne nickel mais le problème c'est que j'ai besoins de rajouter un certificat à la config actuel et je peux pas rajouter un nouveau certificat sur le fichier ssl.conf même en configurant le vhost.

quand je lance la navigation j'ai le certificat du premier site qui est employé par le second site le second certificat est ignoré j'ai l'impression que la config SSL dans le vhost n'est pas du tout prise en compte.

[Marc3001]

Bizarre d'habitude il est assez causant Apache quand il plante....

Tu peux donner tout ton ssl.conf ainsi que tes 2 vhost ?

[spinakur]

voila le premier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
NameVirtualHost *:443
<VirtualHost xxx:443>
        ServerAdmin root@xxx
        ServerName xxx
        DocumentRoot /data/WebApps/
        RewriteEngine on
        RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
        RewriteRule .* - [F]
 
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLHonorCipherOrder on
        SSLCipherSuite RC4-SHA:AES128-SHA:ALL:!ADH:!EXP:!LOW:!MD5:!SSLV2:!NULL
        SSLCertificateFile /data/System/CSR/xxx.cert
        SSLCertificateKeyFile /data/System/CSR/xxx.pkey
 
        <Directory "/data/WebApps/xxx/">
                Options FollowSymLinks
                AllowOverride None
                Options -Indexes FollowSymlinks MultiViews
                Order Allow,Deny
                Allow from all
        </Directory>
</VirtualHost>

le second est identique la seule différence réside dans les certificats et dans les répertoires ciblent, ainsi que dans l'ip du virtualhost.

pour le ssl.conf le voici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog
SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost _default_:443>
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite RC4-SHA:AES128-SHA:ALL:!ADH:!EXP:!LOW:!MD5:!SSLV2:!NULL
 
SSLCertificateFile /data/System/CSR/xxx.cert
SSLCertificateKeyFile /data/System/CSR/xxx.pkey
 
<Files ~ "\.(cgi|shtml|phtml|php3?)$">
    SSLOptions +StdEnvVars
</Files>
<Directory "/var/www/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent ".*MSIE.*" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

je t'ai fais grâce des commentaires, si besoins je peux te fournir la totalité du fichier.

[Marc3001]

Ah mais y'a carrément un virtualhost dans le ssl.conf.....

Commente tout le vhost qui est dans le ssl.conf.

[Marc3001]

Enlève le NameVirtualHost aussi. C'est problématique avec du ssl et c'est pas cohérent avec ta conf. C'est à utiliser si tu sers plusieurs virtualhost par IP.

[spinakur]

Ah mais y'a carrément un virtualhost dans le ssl.conf.....

Commente tout le vhost qui est dans le ssl.conf.

c'est fait et ça fonctionne..
bien vu

merci de l'info.
je vais corriger de ce pas en production.

merci encore