Re: Multiples certificats SSL sur apache2

To: "mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx>
Cc: debian <debian-user-french@lists.debian.org>
Subject: Re: Multiples certificats SSL sur apache2
From: sebastien.barthelemy@libertysurf.fr (Sébastien BARTHÉLEMY)
Date: Thu, 11 May 2006 16:12:53 +0200
Message-id: <[🔎] 87psiky7iy.fsf@woodbox.robot.jussieu.fr>
Mail-followup-to: "mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx>, debian <debian-user-french@lists.debian.org>
In-reply-to: <[🔎] 4462E292.7050404@debian2.ath.cx> (mailingdebian@debian2.ath.cx's message of "Thu, 11 May 2006 09:06:58 +0200")
References: <[🔎] 4462121F.2050003@linuxpourtous.com> <[🔎] 4462E292.7050404@debian2.ath.cx>

> Franck wrote:
>> 
>> j'essais de mettre en place un serveur avec des domaines SSL.
>> Je sais faire avec un domaine et un seul certificat mais avec plusieurs,
>> les autres certificats ne sont pas pris en compte.
>> Si vous aviez de la doc ou un retour d'expérience à ce sujet, je suis
>> preneur.

"mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx> writes:

> A ma connaissance tu ne peux mettre qu'un seul vhost SSL par IP.

Je ne suis pas un expert, mais voilà ce que j'ai compris (sans la
moindre garantie) :

Lorsque tu utilises des vhosts, le serveur regarde dans les headers du
code html envoyé à quel vhost le client veur se connecter.

Si ce code html est crypté (ssl) il a l'air fin pour lire headers.

Donc a priori, un seul vhost par ip (et là il se fie au port
de connexion pour connaitre le vhost).

C'est ce qui est écrit dans la doc apache (et un peu partout
http://stombi.free.fr/blog/index.php?2005/07/14/30-apache2-multiple-ssl-virtual-hosts).
Mais en pratique ça a l'air plus subtil.

La vrai contrainte, c'est _un seul certificat SSL par socket (ip/port)_
après, le serveur décrypte le code html, peut aller voir les headers et
diriger le client vers le bon vhost.

Donc tu peux avoir plusieurs vhosts en SSL sur un seul serveur (même
ip et même port) à condition qu'il partagent le même certificat.

Ce certificat doit correspondre aux différent fqdn, c'est donc une
regexp du genre (vhost1|vhost2).mondomaine.com

Ça fonctionne (j'ai essayé), mais pas très bien (dans mon cas) car les
clients (firefox...) se méfient du certificat. Mais si le
l'utilisateur dit "ok, j'ai confiance", ça marche.

J'ai du louper une subtilité en créant mon certificat car il y a des
sites pour lesquels ça marche très bien.

Il reste un problème : quand tu ajoutes un vhost ssl, tu dois refaire le
certificat (à moins qu'il y ait une autre astuce qui m'échappe)

On m'a dit que la référence concernant la création de certificats c'était :
http://wiki.cacert.org/wiki/VhostTaskForce

Si tu arrives à ce que les clients ne fassent pas de warnings, je suis
preneur !

bon courage 

++

-- 
Sébastien BARTHÉLEMY

Reply to:

References:
- Multiples certificats SSL sur apache2
  - From: Franck <franck@linuxpourtous.com>
- Re: Multiples certificats SSL sur apache2
  - From: "mailingdebian@debian2.ath.cx" <mailingdebian@debian2.ath.cx>

Prev by Date: Re: Pb pour changer le passwd des utilisateurs locaux
Next by Date: Virtualisation server
Previous by thread: Re: Multiples certificats SSL sur apache2
Next by thread: probleme de log monstrueux avec slapd
Index(es):
- Date
- Thread