Bonjour,
Je suis entrain de mettre en place un loadbalancer qui a pour but d'équilibrer des requêtes HTTPS dont l'authentification est effectuée par certificat client chainé.
Les machines cibles du loadbalancer sont des serveurs jboss 4.2.3. J'utilise le mod_jk dernière release.
Le balancing fonctionne parfaitement.
J'ai mis en place le mod_ssl. Il fonctionne pour les connexions basiques (login, password) dans tous les navigateurs.
Il fonctionne pour les connexions certificats chainés dans tous les navigateurs excepté Internet Explorer.
Le site d'Apache indique qu'une faille du protocole TLS a été corrigée. Il semblerait qu'une option a été ajouté sur le mod_ssl () afin qu'Internet Explorer puisse continuer à se connecter.
Manque de chance, avec ou sans l'option, la connexion ne s'établie pas.
Je vous joins ma config du mod_SSL
Je vous joins ma config du mod_jk:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63 LoadModule ssl_module modules/mod_ssl.so LISTEN 443 # Global define SSLCipherSuite DHE-RSA-AES256-SHA:RSA-AES256-SHA:AES256-SHA SSLProtocol TLSv1 SSLSessionCache shm:logs/ssl_gcache_data(512000) SSLSessionCacheTimeout 600 # definition du mode =Connexion securisee= <VirtualHost _default_:443> #Configuration generale host" ServerName pcb0994.dev.lan:443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl #routage jk clone depuis le fichier de conf httpd_jk.conf JkMountCopy On #configuration des logs du ssl CustomLog "logs/ssl_request.log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" ErrorLog "logs/ssl_error.log" TransferLog "logs/access.log" loglevel debug #configuration du specifique des echanges ssl SSLEngine on SSLCertificateFile conf/ssl/cert.crt SSLCertificateChainFile conf/ssl/inter.crt SSLCACertificateFile conf/ssl/ca.crt #reouverture de la faille TLS/SSL pour supporter MSIE SSLInsecureRenegotiation on SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 #specification des contraintes de securite pour # - authentification basique, # - authentification client-cert. <Location /mdx2-web/> SSLRequireSSL SSLVerifyClient require SSLVerifyDepth 3 SSLOptions +ExportCertData +OptRenegotiate </Location> <Location /jmx-console/> SSLRequireSSL SSLVerifyClient require SSLVerifyDepth 3 SSLOptions +ExportCertData +OptRenegotiate </Location> <Location /*> SSLVerifyClient none </Location> </VirtualHost>
Vous trouverez ci-dessous ma config:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31 # # This is the Apache server configuration file providing JK support. LoadModule jk_module modules/mod_jk.so # # Mod_jk settings # JkWorkersFile "conf/workers.properties" JkLogFile "logs/mod_jk.log" JkLogLevel debug JkExtractSSL On JkHTTPSIndicator HTTPS JkSESSIONIndicator SSL_SESSION_ID JkCIPHERIndicator SSL_CIPHER JkCERTSIndicator SSL_CLIENT_CERT JkCERTCHAINPrefix SSL_CLIENT_CERT_CHAIN_ JkOptions +ForwardSSLCertChain JkStripSession on JkMount /load-demo/* loadbalancer JkMount /jmx-console/* loadbalancer JKMount /* loadbalancer JKUnMount /temp/* loadbalancer # End of mod_jk settings
- os = windows 7
- apache = 2.2.16-win32-x86-openssl-0.9.8o
- jk = JK-1.2.30
Si quelqu'un a une idée pour qu'IE fonctionne, je suis preneur.
Par avance, merci pour votre aide.
Cordialement
Partager