Forum Linux.général Certificats SSL multi-domaines

Posté par  (site web personnel) .
Étiquettes :
0
29
sept.
2005
Bonjour,

on a mit en place un serveur web Apache2 avec SSL, et donc un certificat. Ce serveur comprends plusieurs domaines :
- toto.com
- toto.biz

et plusieurs sous-domaines :
- jeannot.toto.com
- test.toto.biz

comment faire pour avoir un certificat SSL qui fonctionne sur tous ? on a bien essayé avec * dans le CN, mais firefox continue à mettre un message d'avertissement :-(

D'avance, merci beaucoup ;-)
  • # Je le sens mal.

    Posté par  . Évalué à 0.

    D'après http://httpd.apache.org/docs/2.0/vhosts/name-based.html(...) :

    Name-based virtual hosting cannot be used with SSL secure servers because of the nature of the SSL protocol.


    Si maintenant chaque site a son adresse IP, j'imagine que ça passera, mais pas avec un seul certificat.
    • [^] # Re: Je le sens mal.

      Posté par  . Évalué à 2.

      Faux

      On ne peut pas spécifier un certificat distinct par virtualhost, mais on peut très bien disposer d'un certificat SSL pour tout ce qui est https, quelque soit les virtualhosts derrière.

      Autres explications :
      https://linuxfr.org/forums/12/11415.html(...)

      Sinon pour répondre à la question initiale, firefox ne veut pas de ton certificat car celui-ci n'est pas signé par une autorité de certification reconnue de mozilla (verisign par exemple). Il faut alors cliquer sur autoriser le certificat définitivement.

      Un wildcard marche très bien dans les certificats, tu peux aussi utiliser quelque chose genre (jeannot.toto.com|test.toto.biz) ça marche aussi.
      • [^] # Re: Je le sens mal.

        Posté par  (site web personnel) . Évalué à 1.

        on peut très bien disposer d'un certificat SSL pour tout ce qui est https, quelque soit les virtualhosts derrière.

        Comment ?
        Le serveur a une IP publique et une interne pour le réseau local.

        J'avais essayé avec une wildcard (*), firefox mettait un warning après l'acceptation du certificat, et ce à chaque redémarrage...
        • [^] # Re: Je le sens mal.

          Posté par  . Évalué à 2.

          La wildcard ne fonctionne pas pour ce genre de chose.
          Firefox (ou IE d'ailleurs) vérifie que le nom du site accédé et le nom du certificat corresponde exactement, sinon il y a un warning.

          C'est un peu comme si tu avais une carte d'identité au nom de "* Martin" et que tu te présentes en tant que "Jacques Martin".

          Pour ne pas avoir de warning, il faut que :
          1) l'autorité qui a émis les certificats de tes sites soit reconnu par le navigateur
          2) le certificat est au nom du site.
          • [^] # Re: Je le sens mal.

            Posté par  . Évalué à 1.

            j'imagine qu'avec des noms en toto.com et en toto.biz, ce n'est pas pour un usage interne.

            tu ne peux pas avoir un certificat avec juste * dans le CN (ou même *.com) pour des raisons évidentes

            par contre *.toto.com est possible (sous condition que le domaine toto.com t'appartienne bien sur), et si ce certificat est signé par une CA reconnue par le navigateur tu peux utiliser celui-ci sur tous les sites en *.toto.com sans que celà mette un warning

            il faut garder à l'esprit que ce ne sont pas toutes les CA qui offrent la possibilité de signer de tels certificats et qu'en général ce genre de certificats coute environ 5 fois plus cher qu'un certificat normal (j'ai Thawte en exemple en tête, y en a surement d'autres, je sais que verisign en font, mais bon c'est verisign )

            dans tous les cas il te faudra faire la meme chose pour *.toto.biz

            donc reste à déterminer ce que tu préfères : utiliser plus d'adresses publiques et plusieurs certificats 'normaux' ou bien deux adresses publiques et deux certificats wildcard.

            Si c'est à usage interne la question ne se pose plus, tu fais ta propre CA, tu installes le certificat de la CA sur chaque navigateur (ca se fait tout seul) et voilà
            • [^] # Re: Je le sens mal.

              Posté par  (site web personnel) . Évalué à 1.

              Merci ;-)
            • [^] # Re: Je le sens mal.

              Posté par  . Évalué à 1.

              >... je sais que verisign en font, mais bon c'est verisign ...

              C'est quoi le probleme avec verisign ?

              Sinon chez InstantSSL c'est 961 ¤ pour 3 ans un wildcard (au lieu des 999 ¤ pour 2 ans de chez Thawte (par TBS Internet)... mais l'autorité intermediaire (comodo qcc) n'est pas reconnu partout ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.