Discussion :

[djibril]

Salut,
autre sooucis mais cette fois ci avec ssl.
Je souhaiterais installer un webmail donc j'ai besoin d'installer ssl.
Dans un premier temps, j'ai installer et configuré apache2 sans souci, mais pour le faire fonctionner avec ssl, j'y arrive pas.
j'ai beau configuré n'importe comment, je n'ai même pas le fenetre du certificat qui s'affiche. Deplus, je voit dans les doc qu'il suffit de modifier le port.conf et de creer la cle et certificat, mais je ne peux pas utiliser le package apache2-ssl-certificate. je ne l'ai pas et impossible de le trouver via apt-get.
voici quelques liens que j'ai regardé
http://www.geocities.com/arhuaco/doc...in-debian.html
http://www.bxlug.be/articles/223
http://www.coagul.org/article.php3?i..._recherche=ssl
...

Bref, j'ai donc opté pour apache-ssl, mais c pareil, je n'arrive pas à le faire fonctionner.
voici d'autre doc :
http://www.ac-creteil.fr/reseaux/sys...pache-ssl.html
http://aide.sivit.fr/index.php?2006/...version-debian

bref quelqu'un pourrait m'aider?
voici ce que j'ai rajouté dans mon fichier de config

341 <VirtualHost www.titi.com:443>
342 SSLEnable
343 ServerAlias titi.com www.titi.com
344 DocumentRoot /var/www/webmail/
345 ServerName www.titi.com
346
347 </VirtualHost>

merci

[djibril]

pas de news

[gorgonite]

perso, ça a marché sur ma debian sarge de manière assez directe...


/etc/apache2/sites-available/default-ssl

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
NameVirtualHost *:443
<VirtualHost *:443>
        SSLEngine on
        ServerAdmin webmaster@localhost
 
        DocumentRoot /data/www/ssl/
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /data/www/ssl>
                Options -Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
                # This directive allows us to have apache2's default start page
                # in /apache2-default/, but still have / go to the right place
                #RedirectMatch ^/$ /apache2-default/
        </Directory>
</VirtualHost>

/etc/apache2/httpd.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SSLCertificateFile /etc/apache2/ssl/apache.pem

[djibril]

Merci gorgonite, je vais tester ça de suite. Comme à ton habitude, tu me donnes toujours quelques pistes intéressantes

[djibril]

juste une question, comment as tu crée ton certificat apache.pem?
Moi je n'ai pas de fichier /etc/apache2/sites-available/default-ssl et mon fichier apache.pem vient de l'install d'apache-ssl que j'ai d'ailleur desinstallé et il se trouve là /etc/apache-ssl/apache.pem, donc pas tres propre.
Ce script apache2-ssl-certificate fonctionnait il sur ta debian? car sur la mienne, il n'existe pas et n'est pas disponible en telechargement via apt-get!!

Merci

[gorgonite]

en gros, mon arborescence ressemble à cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
clubinfo@eomer:/etc/apache2$ ls -R
.:
apache2.conf  httpd.conf  mods-available  README           ssl
conf.d        logs        mods-enabled    sites-available
envvars       magic       ports.conf      sites-enabled
 
./conf.d:
security.conf
 
./logs:
audit_log  modsec_debug_log
 
./mods-available:
actions.load      dav_fs.conf      ldap.load           proxy_http.load
apreq.load        dav_fs.load      mem_cache.load      proxy.load
asis.load         dav.load         mime_magic.conf     rewrite.load
auth_anon.load    deflate.load     mime_magic.load     speling.load
auth_dbm.load     disk_cache.load  mod-security.load   ssl.conf
auth_digest.load  expires.load     perl.conf           ssl.load
auth_ldap.load    ext_filter.load  perl.load           suexec.load
cache.load        file_cache.load  php5.conf           unique_id.load
cern_meta.load    headers.load     php5.load           userdir.conf
cgid.conf         imap.load        proxy.conf          userdir.load
cgid.load         include.load     proxy_connect.load  usertrack.load
cgi.load          info.load        proxy_ftp.load      vhost_alias.load
 
./mods-enabled:
cgi.load           perl.load  php5.load  ssl.load      userdir.load
mod-security.load  php5.conf  ssl.conf   userdir.conf
 
./sites-available:
default  default-ssl
 
./sites-enabled:
000-default  default-ssl
 
./ssl:
apache.pem  ca112705.0

en ce qui concerne les scripts de config, je ne me souviens plus (je monte pas des serveurs sous debian tous les jours... ça fait trois ans que celui-ci est installé )

je l'avais pas fait à l'époque, mais je préfère générer mes certificats via openssl

Il y a un outil pour cela nommé openssl et qui se situe par défaut dans /usr/local/bin.

1. On commence par installer une clé privée ;
On choisit souvent de ne pas la protéger par mot de passe pour éviter la complication de la lecture par apache d'un mot de passe à chaque démarrage ou redémarrage.
Il est donc indispensable que le fichier contenant la clé ne soit lisible que par le propriétaire des process apache (qui est déclaré dans le fichier de configuration d'apache httpd.conf).
openssl req -new -outform PEM > apache
openssl rsa -in privkey.pem -out apache.key

Si vous souhaitez créer une clé cryptée, entrez:
/usr/local/bin/openssl genrsa -des3 1024 > nom.votre.site.key

Mais dans ce cas, chaque lancement d'apache vous demandera d'entrer manuellement le mot de passe de la clé.
Cela peut être gênant si vous prévoyer des redémarrages automatisés d'Apache....
Il y a un moyen d'automatiser la fourniture du mot de passe à Apache au démarrage avec l'option:
SSLPassPhraseDialog exec:votre_programme_de_fourniture_de_mot_de_passe

Mais c'est à vous d'écrire le programme qui fournit le mot de passe, faites attention à ce que vous faites...

2. entrez ensuite:
openssl x509 -in apache -out apache.cert -req -signkey apache.key
qui va se servir du fichier de configuration par défaut de openssl.

Vous devez répondre à une série de questions, entrez un . pour laisser un champ vierge, en voici un aperçu:

Country Name (2 letter code): FR
State or Province Name :
Locality Name:
Organization name:
Organization Unit Name:
Common name:
Email Adress:
A chalenge password:
An optional comany name:

3. Le CSR est maintenant créé, on peut valider soi même pour générer un certificat de sécurité:
openssl x509 -noout -text -in apache.cert
Une option utile: -days donne la durée de validité du certificat

La partie installation est à présent achevée...
Il ne reste plus qu'à configurer le fichier /usr/local/apache/conf/httpd.conf

On ne donnera ici que les compléments nécessités par mod_ssl.

LoadModule ssl_module libexec/libssl.so

Il faut aussi commenter tous les <IfDefine SSL> de manière à ce que Apache lance systématiquement ssl. Vérifiez ensuite la présence de:
Listen 443

un serveur ssl écoute sur le port 443, pensez à l'ouvrir si vous utiliser un pare-feu...

On va configurer des serveurs virtuels utilisant ssl.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
NamevirtualHost *:443
<VirtualHost *:443>
	SSLEngine On
	SSLCertificateKeyFile ssl.key
	SSLCertificateFile ssl.crt
	DocumentRoot /var/www
	ServerName localhost 
        CustomLog /var/log/httpd/mail_log common
        ErrorLog /var/log/httpd/mail-error_log
	SetEnvIf User-Agent ".*MSIE.*" \
         	nokeepalive ssl-unclean-shutdown \
         	downgrade-1.0 force-response-1.0
	<Directory "/var/www/cgi-bin">
                SSLOptions +StdEnvVars
	</Directory>
	<Files ~ "\.(cgi|shtml|phtml|php3?|php|inc)$">
    		SSLOptions +StdEnvVars
	</Files>
</VirtualHost>