1 |
Yoann Pannier a écrit : |
2 |
|
3 |
>Comment ça global au serveur ? Les certificats sont déclarés à |
4 |
>l'interieur d'un vhost, non? |
5 |
> |
6 |
> |
7 |
Pas forcément. En l'occurrence j'ai choisi de le laisser dans le fichier |
8 |
41_mod_ssl_bla.conf puisque c'est là qu'il était par défaut. |
9 |
La doc indique que le contexte est soit server config, soit virtual host. |
10 |
Mais comme on ne peut avoir qu'un certificat par IP... |
11 |
|
12 |
>Je crois (dur) qu'Apache reçoit la requete cryptée, choisi un vhost en |
13 |
>fonction de l'IP cible (puisque c'est la seule info lisible à ce moment |
14 |
>là), et utilise le certificat correspondant pour le biniou ssl. |
15 |
> |
16 |
> |
17 |
Justement, les docs ne sont pas très claires sur le sujet. Il m'apparaît |
18 |
évident que la directive SSLEngine joue le rôle d'arbitre lorsqu'il y a |
19 |
des vhost en SSL et d'autres non. En tous cas je ne saurais pas comment |
20 |
faire avec plusieurs vhosts en SSL sur une seule IP. |
21 |
|
22 |
>Si c'est un mauvais vhost qui est choisi (genre tu as 2 vhosts SSL sur |
23 |
>une seule IP : c'est le premier déclaré qui correspond qui est prit), |
24 |
> |
25 |
> |
26 |
Je te crois sur parole! ;-) |
27 |
|
28 |
>alors si tout ce passe bien, tu as une erreur de certificat au niveau du |
29 |
>client (par ce qu'il ne correspondra pas au nom de domaine). Mais si ce |
30 |
>premier vhost est mal configuré (ou pas du tout comme c'etait le cas |
31 |
>pour ton _default_:443), j'imagine que ça plante comme tu as pu le voir. |
32 |
> |
33 |
> |
34 |
Mouaif. Tout ça n'est pas encore suffisamment clair pour moi. |
35 |
|
36 |
>>[Wed Nov 23 19:06:50 2005] [error] VirtualHost 192.168.0.11:443 -- |
37 |
>>mixing * ports and non-* ports with a NameVirtualHost address is not |
38 |
>>supported, proceeding with undefined |
39 |
>>results |
40 |
>>[ ok ] |
41 |
>> |
42 |
>> |
43 |
> |
44 |
>Est-ce que tu n'aurais pas qq part un nom:* (ou peut-être bien un nom |
45 |
>tout court?) qui pourrait se remplacer par un nom:80, par exemple ? |
46 |
> |
47 |
> |
48 |
Justement, à part l'hôte en SSL, tous les autres étaient comme ceci: |
49 |
|
50 |
<VirtualHost 192.168.0.11> |
51 |
Servername w3.garault.org |
52 |
ServerAdmin webmaster@×××××××.org |
53 |
DocumentRoot /var/www/localhost/rigolo |
54 |
Setenv VLOG /var/log/apache2/video |
55 |
</VirtualHost> |
56 |
|
57 |
Dès que j'ai indiqué explicitement le port d'écoute dans la directive |
58 |
VirtualHost j'ai décuplé le nombre de messages d'erreur! ;-) |
59 |
|
60 |
>A priori si dans /etc/apache2/conf/vhosts/vhosts.conf tu as un |
61 |
>'NameVirtualHost truc:80' et des <VirtualHost truc:80>, le _default_:443 |
62 |
>ne devrait pas poser de problème. |
63 |
> |
64 |
> |
65 |
Ah ben voilà! Je n'avais justement qu'un NameVirtualHost 192.168.0.11 |
66 |
sans le port d'écoute! |
67 |
Je tente et....suspense.... BINGO ! En plus c'est page 94 de mon |
68 |
bouquin. Merci Yoann ! :-) |
69 |
|
70 |
>En option : |
71 |
>http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#removepassphrase |
72 |
> |
73 |
> |
74 |
Merci, c'est prévu aussi mais il faut comprendre que je 'découvre' SSL |
75 |
et j'ai un peu tout fait dans l'urgence. Il faut encore que je lise |
76 |
quelques infos pour bien comprendre ces histoires de format (PEM et |
77 |
autres) des clés et certificats. En tous cas je suis content, j'ai un |
78 |
/beau/ Squirrelmail en SSL maintenant. Reste plus qu'à poster une ou |
79 |
deux questions au sujet de ce dernier.... |
80 |
|
81 |
Encore merci. |
82 |
|
83 |
-- |
84 |
Christophe Garault |
85 |
Take your marks: |
86 |
Gen too three: Emerge! |
87 |
|
88 |
|
89 |
|
90 |
-- |
91 |
gentoo-user-fr@g.o mailing list |