Discussion :

[lavoyech]

Bonjour,

Dans le cadre d'un projet je suis chargé de voir comment configurer une connxion SSL sur un server apache. Etant tout nouveau dans l'univers apache je galère un peu. Je sais qu'il y a des tutos sur le sujet mais j'ai du mal à tout comprendre alors je vais vous expliquer ce que j'ai fait en esperant que vous puissiez m'aider, m'expliquer.

On a donc un serveur apache qui fonctionne. accessible via l'adresse Ip http://XXX.XX.XXX.X/...

Le but étant d'y accéder avec https://XXX.XX.XXX.X/...


Pour générer le certifiact je me suis basé sur openssl et ce lien https://jamielinux.com/docs/openssl-...roduction.html

qui permet de créer des certificats signé par un certificat racine qui permet de ne pas dépendre d'une autorité de certification (il me semble).

j'ai déroulé la procédure et je me retrouve avec un certificat serveur public (domain.cert.pem), sa clé (domain.key.pem), et une chaine de controle basée sur le certificat racine et intermédiaire (ca-chain.cert.pem).

Dans ce tuto il est dit que ces trois éléments doivent être déployer sur le serveur.
Dans le fichier de conf ssl du serveur j'ai donc entré les paramètres suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
<VirtualHost XXX.XX.XXX.X:443>
 
        ServerName myServerName
[...]
 
        SSLProxyEngine On
        SSLProxyCheckPeerCN on
 
        ProxyPass /*** https://***
        ProxyPassReverse /*** https://***
 
        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW:!SSLv2
 
        SSLCertificateFile conf/XXX.XX.XXX.X/domain.cert.pem
        SSLCertificateKeyFile conf/XXX.XX.XXX.X/domain.key.pem
        SSLCACertificateFile conf/XXX.XX.XXX.X/ca-chain.cert.pem
 
 
        SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
 
[...]

puis je relance mon serveur et quand je teste d'y accéder via chrome j'ai une erreur net::ERR_CERT_AUTHORITY_INVALID. J'ai importé dans chrome le certificat domain.cert.pem et la chaine de control mais ca ne marche pas.

Si j'importe mon certificat racine dans les "autorités de certification racine de confiance" cela marche mais l'idée est de ne pas donner mon certificat racine


du coup j'ai plusieurs question car je ne comprends pas vraiment bien ce que je fais.

J'ai lu que le certificat client créé devait avoir le même nom que le domain du serveur.

Ici j'accède à mon serveur via l'IP XXX.XX.XXX.X mais dans mon fichier de configuration le paramètre ServerName est différent (myServerName). Pour le certificat lequel doit-je prendre en compte? (j'ai testé avec les deux sans succès).

Que dois-je importer dans mon navigateur?

Concernant le fichier de configuration est-ce qu'il y aurait quelque chose que j'oublie ou fait mal?

C'est un peu brouillon et j'espère qu'une âme charitable aura un peu de temps pour éclairer ma lanterne.

Cordialement,
Christophe.

[mathieu]

pour qu'un navigateur fasse confiance à un certificat, il faut que ce dernier soit généré par un organisme déjà validé par le navigateur
si vous générer le certificat vous même, c'est peut-être cela qui pose problème

regardez là :
https://letsencrypt.org/

[lavoyech]

Merci pour votre réponse.

Du coup dans le cas où je génère moi-même le certificat racine dois-je forcement l'importer dans les autorités de certification racines de confiance de mon compte ou ordinateur local?

[yacinechaouche]

Oui Lavoyech, car pour que la validation se fasse il faut remonter toute l'arboressence de certification, depuis le certificat du serveur (en feuille) jusqu'au certificat racine (qui comme son nom l'indique est tout en haut de la hierarchie).

Sinon pour ta configuration Apache j'aurais mis simplement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
<VirtualHost XXX.XX.XXX.X:443>
 
        ServerName myServerName
[...]
        SSLProxyEngine On
        SSLEngine on
        SSLCertificateFile conf/XXX.XX.XXX.X/ca-chain.cert.pem
        SSLCertificateKeyFile conf/XXX.XX.XXX.X/domain.key.pem # S'agit-il bien de la clé privée du serveur ??
 
[...]

Si tu souhaites partir sur letsencrypt mais que tu appréhendes ce qui est automagique (on ne sait pas trop ce qui pourrait se passer après une mauvaise update du paquet, quelqu'un se rappelle de heartbleed ?), j'ai écrit une petit doc qui décrit comment s'y prendre.

[lavoyech]

Merci pour ta réponse, je commence à y voir plus clair.

concernant SSLCertificateKeyFile conf/XXX.XX.XXX.X/domain.key.pem il s'agit bien de la clé privé du serveur.

Je génère moi-même le certificat racine pour me mettre dans une configuration de prod en fait donc c'est ça aussi que je n'avais pas bien saisit.