Discussion :

[lostsoul]

Bonjour,

Je monte un petit serveur web, juste pour chez moi, avec un raspberryPi 3 et Ubuntu Server.

J'ai créé 3 certificats auto-signé, via OpenSSL, pour 3 virtualhosts sur Apache.

Mais j'ai des soucis de connexion. Par exemple ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Strict-Transport-Security : la connexion au site n’est pas digne de confiance, l’en-tête spécifié a été ignoré.

J'ai ceci dans le fichier de conf des virtualhosts :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
SSLEngine on
SSLCertificateFile      /etc/ssl/localcerts/mon-blog.crt
SSLCertificateKeyFile   /etc/ssl/localcerts/mon-blog.key

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

Je ne sais pas d'où vient le soucis, une idée peut-être ?

Rien à voir, mais, j'ai pas les flèches du clavier, il affiche ça à la place. Première fois que j'ai ce soucis, avec Raspbian, pas de pbm.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

^[[A

Merci d'avance,

Librement,

andre_ani

[Artemus24]

Salut lostsoul.

Au lieu d'utiliser des certificats openssl auto-signé, pourquoi ne pas créer vos propres certificats let's encrypt ?

Pouvez-vous nous donner vos virtualhosts, ainsi que la déclarative complète du protocole SSL, svp ?

L'erreur du HTTP STS vient que vous vous connectez en utilisant le port 80 (http) au lieu du port 443 (https).
--> https://developer.mozilla.org/fr/doc...sport_Security

Ou bien, c'est votre certificat qui n'est pas conforme.

@+

[lostsoul]

Salut,

Effectivement, je vais peut-être me tourner vers Let's Encrypt ;-)
Je ne sais pas si c'est beaucoup plus compliqué à mettre en place par contre. Car c'est juste pour un petit serveur en local, non accessible de l'extérieur. Ce serait pour un Wordpress peut-être et un Nextcloud, et éventuellement d'autres trucs pour tests et bidouilles ;-)

Voilà un virtualhost :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<VirtualHost 192.168.1.11:443>
 
	ServerName mon-cloud
 
	ServerAdmin admin@mail.fr
	 DocumentRoot /var/www/mon-cloud
 
	ErrorLog ${APACHE_LOG_DIR}/mon-cloud-error.log
	CustomLog ${APACHE_LOG_DIR}/mon-cloud-access.log combined
 
	SSLEngine on
	SSLCertificateFile	/etc/ssl/localcerts/mon-cloud.crt
	SSLCertificateKeyFile	/etc/ssl/localcerts/mon-cloud.key
 
	<IfModule mod_http2.c>
		Protocols h2 http/1.1
	</IfModule>
 
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
 
</VirtualHost>

Merci des conseils,
Librement,

andre_ani

[Artemus24]

Salut lostsoul.

Je crois que vous devez posséder un certificat non auto-signé, mais je n'en suis pas sûr, vu que j'ai un certificat let's encrypt.

Je crois que vous êtes sous linux. Non, il n'est pas très difficile de mettre en place un vertificat let's encrypt.
Comme je suis sous windows, j'ai dû chercher un peu plus car la plupart des didacticiels sont pour linux.

Pour augmenter les déclaratives dans votre virtualHost.
--> https://httpd.apache.org/docs/2.4/fr/mod/mod_ssl.html
--> https://httpd.apache.org/docs/curren...ssl_howto.html

J'ai ajouté ceci :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
	SSLEngine on
	SSLCertificateFile      "${SRVROOT}/conf/Certificat/xxxx.fr/xxxx.fr-crt.pem"
	SSLCertificateKeyFile   "${SRVROOT}/conf/Certificat/xxxx.fr/xxxx.fr-key.pem"
#
	SSLCACertificatePath    "${SRVROOT}/conf/Certificat/xxxx.fr"
	SSLCACertificateFile    "${SRVROOT}/conf/Certificat/xxxx.fr/Ca-crt.pem"
#
	SSLVerifyClient none
	SSLVerifyDepth  10
#
	<Directory />
		SSLOptions +StdEnvVars
		...
	</Directory>

Et j'ai ça aussi :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
LoadModule ssl_module                  modules/mod_ssl.so
LoadModule socache_shmcb_module        modules/mod_socache_shmcb.so
 
<IfModule ssl_module>
	SSLProtocol +All -SSLv3
#
	SSLRandomSeed startup builtin
	SSLRandomSeed connect builtin
#
	SSLHonorCipherOrder On
#
	SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
	SSLCompression off
#
	SSLPassPhraseDialog             builtin
#
	SSLSessionCache                 "shmcb:${repertoire}/tmp/ssl_scache(512000)"
	SSLSessionCacheTimeout          300
#
	SSLCompression off
</IfModule>

Sinon, vu que vous êtes en local chez vous, ne mettez pas la ligne HTTP STS.

@+

[lostsoul]

Merci beaucoup pour toutes ces précisions !
Effectivement, je fais ceci sous Linux, sur un Raspberry avec Ubuntu Server (Raspbian aillant une version trop ancienne de PHP pour Nextcloud...).

[lostsoul]

Bon, après plusieurs essais, il semble impossible d'utiliser Let's Encrypt sur un serveur local qui n'est pas accessible depuis l'extérieur, soucis de DNS et domaine.

Par ailleurs, les lignes que vous m'avez conseillez d'ajouter causent des soucis :
SSLSessionCache cannot occur within <VirtualHost> section

Bref, pas gagné. Et tant pis pour Let's Encrypt... Je ne veux pas mettre mon Rasp accessible depuis internet. Trop de soucis potentiel de sécurité après.

[lostsoul]

J'ai recréé mes certificats en suivant un autre tuto et ça semble mieux fonctionner.
J'ai de nouveaux Wordpress et Nextcloud qui fonctionne ;-)

[Artemus24]

Salut lostsoul.

Bon, après plusieurs essais, il semble impossible d'utiliser Let's Encrypt sur un serveur local qui n'est pas accessible depuis l'extérieur, soucis de DNS et domaine.

Il n'est pas nécessaire d'avoir en permanence votre site accessible depuis internet.
Par contre, il doit l'être au moment de la création de votre certificat let's encrypt.
Vous devez rendre accessible votre site depuis internet, en ouvrant les ports 80 & 443 dans votre box.
Vérifiez que la règle qui se trouve dans le pare-feu correspond bien à votre serveur apache.
Ensuite, vous devez un alias (je suis sous wampserveur) : "acme-challenges.conf", avec ce contenu :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# *********************** #
#                         #
#     acme-challenges     #
#                         #
#      Sphere "Bleu"      #
#                         #
# *********************** #
 
Alias /.well-known/acme-challenge  "F:/Site-01/.well-known/acme-challenge"
#
<Directory "F:/Site-01/.well-known/acme-challenge">
	Options -Indexes +FollowSymLinks +MultiViews
	AllowOverride all
#
	<RequireAny>
		Require all granted
	</RequireAny>
</Directory>
#

A la racine de votre site, vous devez créer un répertoire de nom ".well-known" (il y a bien un point devant).
Dans ce répertoire, il y aura le répertoire suivant : "acme-challenge".
A l'intérieur va se trouver une clef suffixé par ".txt".
Ceci sera créé lors de la demande de création d'un certificat let's encrypt.

Par ailleurs, les lignes que vous m'avez conseillez d'ajouter causent des soucis :
SSLSessionCache cannot occur within <VirtualHost> section

Je suis sous windows 10 Pro, et non sous ma raspberry.
Il est possible que vous ayez un problème de fermeture d'un VirtualHost précédent.
--> https://serverfault.com/questions/29...alhost-section

@+

[lostsoul]

D'accord, merci pour ces infos.
Je vais vérifier pour la fermeture des virtualhost mais il me semble que c'était bon pourtant.

Je vais voir pour Let's Encrypt. Depuis que j'ai refais les certificats (tjs avec OpenSSL), plus de soucis semble-t-il, alors je vais peut-être resté comme ça.
En plus, s'il faut ouvrir et fermer les ports de temps en temps, ça ne va pas être pratique.

Encore merci, je vais pouvoir passer le sujet en résolu ;-)