Bonjour,
Je suis entrain de mettre en place un loadbalancer qui a pour but d'équilibrer des requêtes HTTPS dont l'authentification est effectuée par certificat client chainé.
Les machines cibles du loadbalancer sont des serveurs jboss 4.2.3. J'utilise le mod_jk dernière release.
Le balancing fonctionne parfaitement.
J'ai mis en place le mod_ssl. Il fonctionne pour les connexions basiques (login, password) dans tous les navigateurs.
Il fonctionne pour les connexions certificats chainés dans tous les navigateurs excepté Internet Explorer.
Le site d'Apache indique qu'une faille du protocole TLS a été corrigée. Il semblerait qu'une option a été ajouté sur le mod_ssl () afin qu'Internet Explorer puisse continuer à se connecter.
Manque de chance, avec ou sans l'option, la connexion ne s'établie pas.
Je vous joins ma config du mod_SSL
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
 
LoadModule ssl_module modules/mod_ssl.so
 
LISTEN 443
 
# Global define
SSLCipherSuite DHE-RSA-AES256-SHA:RSA-AES256-SHA:AES256-SHA
SSLProtocol TLSv1
SSLSessionCache shm:logs/ssl_gcache_data(512000) 
SSLSessionCacheTimeout 600 
 
 
# definition du mode =Connexion securisee=
<VirtualHost _default_:443>
	#Configuration generale host"
    ServerName pcb0994.dev.lan:443    
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl    .crl
 
 
    #routage jk clone depuis le fichier de conf httpd_jk.conf
    JkMountCopy On
 
 
	#configuration des logs du ssl
    CustomLog "logs/ssl_request.log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
	ErrorLog "logs/ssl_error.log"
	TransferLog "logs/access.log"
    loglevel debug
 
 
    #configuration du specifique des echanges ssl
    SSLEngine on
    SSLCertificateFile conf/ssl/cert.crt
    SSLCertificateChainFile conf/ssl/inter.crt
    SSLCACertificateFile conf/ssl/ca.crt
 
 
	#reouverture de la faille TLS/SSL pour supporter MSIE	
	SSLInsecureRenegotiation on 
 
	SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
 
 
	#specification des contraintes de securite pour 
	# - authentification basique,
	# - authentification client-cert.
	<Location /mdx2-web/>
		SSLRequireSSL
		SSLVerifyClient require		
		SSLVerifyDepth 3
		SSLOptions +ExportCertData +OptRenegotiate
	</Location> 
	<Location /jmx-console/>
		SSLRequireSSL
		SSLVerifyClient require		
		SSLVerifyDepth 3
		SSLOptions +ExportCertData +OptRenegotiate
	</Location> 
	<Location /*>
		SSLVerifyClient none
	</Location> 
</VirtualHost>
Je vous joins ma config du mod_jk:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
#
# This is the Apache server configuration file providing JK support.
LoadModule jk_module modules/mod_jk.so
 
 
 
#
# Mod_jk settings
#
JkWorkersFile "conf/workers.properties"
JkLogFile "logs/mod_jk.log"
JkLogLevel debug
 
JkExtractSSL On
JkHTTPSIndicator HTTPS
JkSESSIONIndicator SSL_SESSION_ID
JkCIPHERIndicator SSL_CIPHER
JkCERTSIndicator SSL_CLIENT_CERT
JkCERTCHAINPrefix SSL_CLIENT_CERT_CHAIN_
 
JkOptions +ForwardSSLCertChain
 
JkStripSession on   
 
 
JkMount /load-demo/* loadbalancer
JkMount /jmx-console/* loadbalancer
JKMount /* loadbalancer
JKUnMount /temp/* loadbalancer
# End of mod_jk settings
Vous trouverez ci-dessous ma config:
  • os = windows 7
  • apache = 2.2.16-win32-x86-openssl-0.9.8o
  • jk = JK-1.2.30


Si quelqu'un a une idée pour qu'IE fonctionne, je suis preneur.
Par avance, merci pour votre aide.
Cordialement