Re: Apache, http et https sur le port 443 & passphrase sur clé privée...

[mouss <mouss@netoyen.net>]

David BERCOT wrote:
> Re-bonjour,
>
> Tout d'abord, je re-situe ma configuration : j'ai un serveur Apache qui
> n'est appelé que sur le port 443, que ce soit du http ou du https [on
> ne peut pas l'appeler sur le port 80].
>
> Avec ma configuration précédente (3 sites en http configurés sur le
> port 80 et 1 site en https configuré sur le port 443), si j'appelais le
> site en https en attaquant mon routeur sur le port 80 (celui-ci
> redirigeant la requête sur le port 443 vers mon serveur), ça
> fonctionnait correctement en https [exemple de Daniel :
> https://tondomaine.tld:80/].
>
> Maintenant, je souhaiterais aussi que mes 3 autres sites répondent
> correctement, mais eux, en clair (http et pas https). Or, les appels à
> ces sites sont redirigés vers le port 443 de mon serveur. J'ai donc
> configuré mon /etc/apache2/sites-available/default de la manière
> suivante :
> NameVirtualHost *:443
> <VirtualHost *:443>
>         ServerName site1.mondomaine.tld
>         DocumentRoot /www/site1
> </VirtualHost>
> <VirtualHost *:443>
>         ServerName site2.mondomaine.tld
>         DocumentRoot /www/site2
> </VirtualHost>
> <VirtualHost *:443>
>         ServerName site3.mondomaine.tld
>         DocumentRoot /www/site3
> </VirtualHost>
> <VirtualHost *:443>
>         ServerName site4.mondomaine.tld
>         DocumentRoot /www/site4
> 	SSLEngine on
>         SSLCertificateFile /ssl/site4-server.crt
>         SSLCertificateKeyFile /ssl/site4-server.key
>         SSLCACertificatePath /ssl/
>         SSLCACertificateFile /ssl/my-ca.crt
> </VirtualHost>
>
> Or, avec cette configuration là, mes 3 premiers sites répondent
> correctement en http, mais le 4ème ne répond plus en https. J'ai
> l'erreur suivante :

Une session SSL est négociée et établie au moment de la connexion, et 
avant de passer la commande (qui contient le vhost). pour une IP et un 
port donné, on peut soit forcer SSL avec un certificat donné, soit pas 
de SSL. on ne peut pas faire des choix (ssl ou pas, différents 
certificats) selon le vhost.

on peut pas contre mettre des sites non ssl et faire des redirects vers 
un autre port, mais il faut que ton routeur ne change pas ce port.

> Échec de la connexion sécurisée
> Une erreur est survenue pendant une connexion à site4.mondomaine.tld:80.
> SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.
> (Code d'erreur : ssl_error_rx_record_too_long)
>
> Quelques minutes avant, ça marchait très bien :-(
>
> Auriez-vous une idée de ce qui provoque cette erreur ?
>
> Dernière question : lorsque je redémarre Apache2, il me pose la
> question suivante :
> Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog)
> Some of your private key files are encrypted for security reasons.
> In order to read them you have to provide the pass phrases.
> Server site4.mondomaine.tld:443 (RSA)
> Enter pass phrase:
>
> Aurais-je dû ne pas mettre de passphrase ou bien y a-t-il une solution
> pour qu'il ne me la demande pas (au démarrage du serveur, c'est coton
> de répondre ;-))) ?

quand tu généres les clefs, ne mets pas de passphrase (si tu généres 
avec openssl, utilise -nodes. ou sinon, tapes <ENTREE> quand il te 
demande la passphrase).