Forum général.général Apache-ssl / certificats / vhost

Posté par .
Tags : aucun
0
27
nov.
2006
Bonjour,

J'ai un serveur Web sous debian, avec apache-ssl (1.3) installé. Jusque là ... rien de grave.

J'ai plusieurs vhosts sur ce serveur web, j'ai créé et self signé plusieurs certificats. J'ai ensuite configuré chaque vhost avec le certificat qui va bien.

Exemple:

<VirtualHost *:443>
SSLEnable
SSLCACertificateFile xxxxx.crt
SSLCertificateKeyFile xxxxx.key
SSLCertificateFile xxxxx.pem

ServerName xxxxx
DocumentRoot xxxxx
</VirtualHost>


Jusque là ... rien de bien impressionnant !

Malgré une conf qui me semble correct, j'ai le même certificat pour tous mes vhosts :/ Alors que je suis sencé en avoir un différent pour chaque ...

C'est le premier vhost défini qui donne le certificat pour les autres, donc si le vhost pour le site www.totot.com est défini en premier (ou son fichier lu en premier par apache) www.titi.com aura le certificat de www.toto.com

Est ce que quelqu'un aurait une idée ? Je n'ai vu personne avec ce probleme et en suivant la doc j'ai une configuration que me semble bonne.

Merci d'avance.
  • # 1 par IP

    Posté par (page perso) . Évalué à 3.

    Les certificats SSL (maintenant TLS), c'est un par adresse IP, y'a pas de virtual hosting là n'dans.

    http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts2

    PS: Oui, c'est pareil pour le 1.3

    La gelée de coings est une chose à ne pas avaler de travers.

  • # oeuf/poule

    Posté par . Évalué à 1.

    Pour savoir quelle config VirualHost utiliser, Apache doit connaître le nom de domaine que le client demande.
    Pour connaître le nom de domaine en SSL, apache doit savoir quel certificat utiliser.

    La seule solution pour faire des VirtualHosts par nom de domaine en SSL serait d'utiliser un certificat joker.
    • [^] # Re: oeuf/poule

      Posté par . Évalué à 1.

      Merci à vous deux.

      J'avais pensé a un moment à mettre un joker ... puis l'idée c'est envollé.

      Je viens de tester et ca marche !

      Bon, faut avouer qu'avec la nouvelle version d'ie, qui affiche de gros message en rouge tout moche pour les certificats self signé (et pour tout autre erreur), je devais avoir un truc très propre.

      Du coup, avec le joker, la seule erreur concerne le CA, qui est facile de contourner en ajouter ce qu'il faut au navigateur.

      Merci.
    • [^] # Re: oeuf/poule

      Posté par . Évalué à 1.

      Bonjour , je suis dans le meme cas que l'auteur du thread , et j'aimerais savoir ce qu'est un certificat joker .

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.