Re: Certificats SSL

To: "Kevin Hinault" <hinault@gmail.com>, debian-user-french@lists.debian.org
Subject: Re: Certificats SSL
From: "Johan Dindaine" <jojolapin972@gmail.com>
Date: Fri, 5 Dec 2008 20:06:21 +0000
Message-id: <[🔎] e5d23c8f0812051206n209a82c2o66875c97bf82c66a@mail.gmail.com>
In-reply-to: <[🔎] ecd2a87a0812030813p3e40b4e6xb4292c36efdab1bb@mail.gmail.com>
References: <[🔎] e5d23c8f0812030652x25c43debudf5b720cf1826695@mail.gmail.com> <[🔎] 4936AE80.6080605@meditrans.fr> <[🔎] ecd2a87a0812030813p3e40b4e6xb4292c36efdab1bb@mail.gmail.com>

En fait pour resumer j'ai une application (puisse que je suis d'abord développer) qui repond a plusieurs URL (avec des ServerAlias pour la version HTTP). Et je dois reproduire le meme scenario en HTTPS.

http://www.toto.fr |
| ======>>>>> /home/apache/site_http
http://www.toto.it |

https://www.toto.fr |
| ======>>>>> /home/apache/site_https
https://www.toto.it |

openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.fr.key #genere la clée privée du site francais
openssl genrsa -des3 1024 -rand /var/log/messages > www.toto.it.key #clée privée du site italien differente de la francaise
openssl req -new -key www.toto.fr.key -out www.toto.fr.csr #je demande le Certificate Signing Request pour
openssl req -new -key www.toto.it.key -out www.toto.it.csr # chaques sites
openssl x509 -req -days 365 -in www.toto.fr.csr -signkey www.toto.fr.key -out www.toto.fr.crt #j'authentifie avec ma clee privee
openssl x509 -req -days 365 -in www.toto.it.csr -signkey www.toto.it.key -out www.toto.it.crt
Maintenant lorsque je relance apache avec ces options dans le fichier de configuration pour toto.fr et toto.it je n'ai plus aucun proble pour recharcher mais c'est le premier certificat qui est proposée a tous les sites
SSLEngine on
SSLCertificateFile /etc/apache2/www.toto.fr.key
SSLCertificateKeyFile /etc/apache2/www.toto.fr.crt

Le 3 décembre 2008 16:13, Kevin Hinault <hinault@gmail.com> a écrit :

Le 3 décembre 2008 17:06, rvenne <rvenne@meditrans.fr> a écrit :

> bonjour,
>
> corrigez si je me trompe,
>
> 2 certificats ssl fonctionnent vraiment sur le même host, avec le même port?

Le même port ne pose pas de problème puisque les directives
"ServerName truc.machin.com" dans les deux virtualhost sont présentes.
C'est ce qui va permettre d'utiliser l'un ou l'autre virtualhost.

Par contre, pour être propre, il faut que les directives correspondent
au champs DN du certificat x509 utilisé sous peine de voir le
navigateur prévenir d'un potentiel "fishing". (ici s1 et s2)

Kévin.

--
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Certificats SSL
  - From: Stephane Bortzmeyer <stephane@sources.org>

References:
- Certificats SSL
  - From: "Johan Dindaine" <jojolapin972@gmail.com>
- Re: Certificats SSL
  - From: rvenne <rvenne@meditrans.fr>
- Re: Certificats SSL
  - From: "Kevin Hinault" <hinault@gmail.com>

Prev by Date: Re: dhclient, resolv.conf et ipv6
Next by Date: Re: Certificats SSL
Previous by thread: Re: Certificats SSL
Next by thread: Re: Certificats SSL
Index(es):
- Date
- Thread