Re: Proxytunnel (-e) et OpenSSH server
On Sun, Oct 10, 2010 at 10:33:17AM +0200, Erwan David wrote:
> Ton site en https, mets le en http sur un port quelconque en
> n'autorisant que les connexions depuis localhost. stunnel s'occupe alors
> de la partie SSL, et apache n'a plus à s'en occuper.
C'est exactement ça: en prenant, pour Apache, au hasard, le
port 80 :-)
> > En effet, le test que tu as fait concerne du HTTP et pas du HTTPS vers
> > Apache. Or, mon souhait est de faire du "VRAI" HTTPS.
Non, dans mon test ce qui transite "sur le fil" est du vrai
HTTPS: HTTPS, c'est littéralement du HTTP dans du SSL. Il
est exactement equivalent de faire:
Navigateur/https---------https--------> stunnel --http--> apache:80
ou:
Navigateur/https----------https-------> apache:443
La partie 'https' est identique.
Dans mon exemple, j'ai configuré le stunnel en réception
avec le certificat que j'utilise d'habitude pour apache, et
vu depuis le navigateur on n'y voit que du feu.
Pour faire ce que tu suggères, c'est à dire stunnel qui
décapsule puis qui forwarde vers HTTPS, il faudrait
encapsuler le HTTPS dans du SSL:
Navigateur/https-->stunnel-----https/ssl--------> stunnel --https--> apache:443
Dans ce cas, ton serveur n'offre plus un service 'https'
mais 'https sur ssl', qui n'est plus compatible avec les
navigateurs.
Y.
Reply to: