| 1 |
Christophe Garault wrote, On 11/23/2005 07:35 PM: |
| 2 |
> certaines directives (SSLEngine par ex) s'appliquent dans les hôtes |
| 3 |
> virtuels. Je comprend tout à fait que la négociation SSL se fasse sur |
| 4 |
> l'IP comme tu le mentionnes, mais dans ce cas je devrais alors juste |
| 5 |
> avoir un pb de certificat non? Puisque le certificat est global au |
| 6 |
> serveur (donc l'IP) et ne correspond pas forcément à l'hôte virtuel... |
| 7 |
|
| 8 |
Comment ça global au serveur ? Les certificats sont déclarés à |
| 9 |
l'interieur d'un vhost, non? |
| 10 |
|
| 11 |
Je crois (dur) qu'Apache reçoit la requete cryptée, choisi un vhost en |
| 12 |
fonction de l'IP cible (puisque c'est la seule info lisible à ce moment |
| 13 |
là), et utilise le certificat correspondant pour le biniou ssl. |
| 14 |
|
| 15 |
Si c'est un mauvais vhost qui est choisi (genre tu as 2 vhosts SSL sur |
| 16 |
une seule IP : c'est le premier déclaré qui correspond qui est prit), |
| 17 |
alors si tout ce passe bien, tu as une erreur de certificat au niveau du |
| 18 |
client (par ce qu'il ne correspondra pas au nom de domaine). Mais si ce |
| 19 |
premier vhost est mal configuré (ou pas du tout comme c'etait le cas |
| 20 |
pour ton _default_:443), j'imagine que ça plante comme tu as pu le voir. |
| 21 |
|
| 22 |
> [Wed Nov 23 19:06:50 2005] [error] VirtualHost 192.168.0.11:443 -- |
| 23 |
> mixing * ports and non-* ports with a NameVirtualHost address is not |
| 24 |
> supported, proceeding with undefined |
| 25 |
> results |
| 26 |
> [ ok ] |
| 27 |
|
| 28 |
Est-ce que tu n'aurais pas qq part un nom:* (ou peut-être bien un nom |
| 29 |
tout court?) qui pourrait se remplacer par un nom:80, par exemple ? |
| 30 |
|
| 31 |
A priori si dans /etc/apache2/conf/vhosts/vhosts.conf tu as un |
| 32 |
'NameVirtualHost truc:80' et des <VirtualHost truc:80>, le _default_:443 |
| 33 |
ne devrait pas poser de problème. |
| 34 |
|
| 35 |
> * Starting apache2 ... |
| 36 |
> Apache/2.0.52 mod_ssl/2.0.52 (Pass Phrase Dialog) |
| 37 |
> Some of your private key files are encrypted for security reasons. |
| 38 |
> In order to read them you have to provide us with the pass phrases. |
| 39 |
|
| 40 |
En option : |
| 41 |
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#removepassphrase |
| 42 |
|
| 43 |
-- |
| 44 |
Yoann Pannier |
| 45 |
-- |
| 46 |
gentoo-user-fr@g.o mailing list |
Archives