| 1 |
Yoann Pannier a écrit : |
| 2 |
|
| 3 |
>Comment ça global au serveur ? Les certificats sont déclarés à |
| 4 |
>l'interieur d'un vhost, non? |
| 5 |
> |
| 6 |
> |
| 7 |
Pas forcément. En l'occurrence j'ai choisi de le laisser dans le fichier |
| 8 |
41_mod_ssl_bla.conf puisque c'est là qu'il était par défaut. |
| 9 |
La doc indique que le contexte est soit server config, soit virtual host. |
| 10 |
Mais comme on ne peut avoir qu'un certificat par IP... |
| 11 |
|
| 12 |
>Je crois (dur) qu'Apache reçoit la requete cryptée, choisi un vhost en |
| 13 |
>fonction de l'IP cible (puisque c'est la seule info lisible à ce moment |
| 14 |
>là), et utilise le certificat correspondant pour le biniou ssl. |
| 15 |
> |
| 16 |
> |
| 17 |
Justement, les docs ne sont pas très claires sur le sujet. Il m'apparaît |
| 18 |
évident que la directive SSLEngine joue le rôle d'arbitre lorsqu'il y a |
| 19 |
des vhost en SSL et d'autres non. En tous cas je ne saurais pas comment |
| 20 |
faire avec plusieurs vhosts en SSL sur une seule IP. |
| 21 |
|
| 22 |
>Si c'est un mauvais vhost qui est choisi (genre tu as 2 vhosts SSL sur |
| 23 |
>une seule IP : c'est le premier déclaré qui correspond qui est prit), |
| 24 |
> |
| 25 |
> |
| 26 |
Je te crois sur parole! ;-) |
| 27 |
|
| 28 |
>alors si tout ce passe bien, tu as une erreur de certificat au niveau du |
| 29 |
>client (par ce qu'il ne correspondra pas au nom de domaine). Mais si ce |
| 30 |
>premier vhost est mal configuré (ou pas du tout comme c'etait le cas |
| 31 |
>pour ton _default_:443), j'imagine que ça plante comme tu as pu le voir. |
| 32 |
> |
| 33 |
> |
| 34 |
Mouaif. Tout ça n'est pas encore suffisamment clair pour moi. |
| 35 |
|
| 36 |
>>[Wed Nov 23 19:06:50 2005] [error] VirtualHost 192.168.0.11:443 -- |
| 37 |
>>mixing * ports and non-* ports with a NameVirtualHost address is not |
| 38 |
>>supported, proceeding with undefined |
| 39 |
>>results |
| 40 |
>>[ ok ] |
| 41 |
>> |
| 42 |
>> |
| 43 |
> |
| 44 |
>Est-ce que tu n'aurais pas qq part un nom:* (ou peut-être bien un nom |
| 45 |
>tout court?) qui pourrait se remplacer par un nom:80, par exemple ? |
| 46 |
> |
| 47 |
> |
| 48 |
Justement, à part l'hôte en SSL, tous les autres étaient comme ceci: |
| 49 |
|
| 50 |
<VirtualHost 192.168.0.11> |
| 51 |
Servername w3.garault.org |
| 52 |
ServerAdmin webmaster@×××××××.org |
| 53 |
DocumentRoot /var/www/localhost/rigolo |
| 54 |
Setenv VLOG /var/log/apache2/video |
| 55 |
</VirtualHost> |
| 56 |
|
| 57 |
Dès que j'ai indiqué explicitement le port d'écoute dans la directive |
| 58 |
VirtualHost j'ai décuplé le nombre de messages d'erreur! ;-) |
| 59 |
|
| 60 |
>A priori si dans /etc/apache2/conf/vhosts/vhosts.conf tu as un |
| 61 |
>'NameVirtualHost truc:80' et des <VirtualHost truc:80>, le _default_:443 |
| 62 |
>ne devrait pas poser de problème. |
| 63 |
> |
| 64 |
> |
| 65 |
Ah ben voilà! Je n'avais justement qu'un NameVirtualHost 192.168.0.11 |
| 66 |
sans le port d'écoute! |
| 67 |
Je tente et....suspense.... BINGO ! En plus c'est page 94 de mon |
| 68 |
bouquin. Merci Yoann ! :-) |
| 69 |
|
| 70 |
>En option : |
| 71 |
>http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#removepassphrase |
| 72 |
> |
| 73 |
> |
| 74 |
Merci, c'est prévu aussi mais il faut comprendre que je 'découvre' SSL |
| 75 |
et j'ai un peu tout fait dans l'urgence. Il faut encore que je lise |
| 76 |
quelques infos pour bien comprendre ces histoires de format (PEM et |
| 77 |
autres) des clés et certificats. En tous cas je suis content, j'ai un |
| 78 |
/beau/ Squirrelmail en SSL maintenant. Reste plus qu'à poster une ou |
| 79 |
deux questions au sujet de ce dernier.... |
| 80 |
|
| 81 |
Encore merci. |
| 82 |
|
| 83 |
-- |
| 84 |
Christophe Garault |
| 85 |
Take your marks: |
| 86 |
Gen too three: Emerge! |
| 87 |
|
| 88 |
|
| 89 |
|
| 90 |
-- |
| 91 |
gentoo-user-fr@g.o mailing list |
Archives