Forum Linux.général Installation certificat ssl sur 2 sous domaines(Apache2, OpenSSL)

• # TLS

  Posté par GG (site web personnel) le 20 août 2010 à 23:10. Évalué à 2.

  

  Bonjour,
  
  tu peux opter pour un certificat TLS avec multidomaine, c'est parfaitement géré avec au moins Firefox.
  C'est d'ailleurs l'option utilisée par Gandi (peut être) et OVH (certain) pour vendre des certificats (à l'unité par contre)....
  
  On peut trouver les certificats TLS avec wild card ou avec multiples sous domaine et multiples domaines à partir de 50$ pour 2 ans.
  
  A bientôt
  Grégoire

  Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • [^] # Re: TLS

    Posté par colagen le 20 août 2010 à 23:27. Évalué à 1.

    

    Ouais, mais si je souhaitais partir sur 2 certificats plutôt qu'un wildcard, c'est que gandi offre un certificat ssl (le plus basique qui existe) pour tout domaine hebergé chez eux.
    
    Alors du coup, je suis parti sur l'idée de placer une seconde interface sur le serveur en découvrant que via les zones DNS, on pouvait faire pointer un sous domaine précis sur une autre adresse IP. Ensuite, en distinguant le sous-domaine par une adresse IP différente, je pourrais avoir un second VirtualHost pour le port 443 et ca ne posera alors plus de soucis pour installer deux certificats. Le soucis, c'est qu'en voulant modifier les zones DNS, je n'ai maintenant plus rien qui marche.
    
    Le but était d'avoir
    http://www.example.com, http://example.com, et http://fr.example.com sur 95.142.160.196
    
    Et
    
    http://en.example.com sur 92.243.15.21
    
    Voila mes zones DNS
    
    www.example.com 10800 IN CNAME fr.example.com.
    example.com 10800 IN CNAME fr.example.com.
    fr.example.com 10800 IN A 95.142.160.196
    
    en.example.com 10800 IN A 92.243.15.21
    
    @ 10800 IN A 95.142.160.196
    @ 10800 IN MX 10 spool.mail.gandi.net.
    @ 10800 IN MX 20 fb.mail.gandi.net.
    smtp 10800 IN CNAME relay.mail.gandi.net.
    webmail 10800 IN CNAME agent.mail.gandi.net.
    pop 10800 IN CNAME access.mail.gandi.net.
    imap 10800 IN CNAME access.mail.gandi.net.
    
    Si tu vois où se situe le soucis ... je vais continuer à tâtonner, mais avec le temps de propagation DNS, ce n'est pas facile facile d'y aller un peu au pif : (

    • [^] # Re: TLS

      Posté par Ymage le 21 août 2010 à 12:54. Évalué à 1.

      

      Pas besoin de dédier des @IP différentes à tes VirtualHost, la plupart des navigateurs actuels et serveurs Web supportent TLS et http://en.wikipedia.org/wiki/Server_Name_Indication, qui permettent justement d'héberger plusieurs noms de domaine avec SSL sur une même adresse IP et un même port.
      
      En effet, la négociation TLS se fait après que le nom de domaine soit demandé au serveur Web, ce qui permet à ce dernier de présenter le bon certificat SSL.
      S'ensuit alors la négociation SSL habituelle pour sécuriser les échanges.

      Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

      • [^] # Re: TLS

        Posté par Maxime (site web personnel) le 23 août 2010 à 06:26. Évalué à 3.

        

        Je tiens à préciser que pour le SNI, c'est géré par apache que depuis peu de temps et que certaines distributions ne le proposent pas encore. (c'était juste en réaction à "la plupart des [...] serveurs Web")

        • [^] # Re: TLS

          Posté par colagen le 27 août 2010 à 18:18. Évalué à 1.

          

          Oui, et justement, ca ne semble pas fonctionner sur mon serveur. Bon alors j'ai finalement réussi à configurer correctement mes zones DNS, à avoir une IP différente pour mon deuxième sous-domaine à sécuriser, et à installer du coup un deuxième certificat, donc c'est résolu.
          Merci :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.