Bonjour,
on a mit en place un serveur web Apache2 avec SSL, et donc un certificat. Ce serveur comprends plusieurs domaines :
- toto.com
- toto.biz
et plusieurs sous-domaines :
- jeannot.toto.com
- test.toto.biz
comment faire pour avoir un certificat SSL qui fonctionne sur tous ? on a bien essayé avec * dans le CN, mais firefox continue à mettre un message d'avertissement :-(
D'avance, merci beaucoup ;-)
Forum Linux.général Certificats SSL multi-domaines
29
sept.
2005
# Je le sens mal.
Posté par l'architecte . Évalué à 0.
Si maintenant chaque site a son adresse IP, j'imagine que ça passera, mais pas avec un seul certificat.
[^] # Re: Je le sens mal.
Posté par symoon . Évalué à 2.
On ne peut pas spécifier un certificat distinct par virtualhost, mais on peut très bien disposer d'un certificat SSL pour tout ce qui est https, quelque soit les virtualhosts derrière.
Autres explications :
https://linuxfr.org/forums/12/11415.html(...)
Sinon pour répondre à la question initiale, firefox ne veut pas de ton certificat car celui-ci n'est pas signé par une autorité de certification reconnue de mozilla (verisign par exemple). Il faut alors cliquer sur autoriser le certificat définitivement.
Un wildcard marche très bien dans les certificats, tu peux aussi utiliser quelque chose genre (jeannot.toto.com|test.toto.biz) ça marche aussi.
[^] # Re: Je le sens mal.
Posté par Greg (site web personnel) . Évalué à 1.
Comment ?
Le serveur a une IP publique et une interne pour le réseau local.
J'avais essayé avec une wildcard (*), firefox mettait un warning après l'acceptation du certificat, et ce à chaque redémarrage...
[^] # Re: Je le sens mal.
Posté par account . Évalué à 2.
Firefox (ou IE d'ailleurs) vérifie que le nom du site accédé et le nom du certificat corresponde exactement, sinon il y a un warning.
C'est un peu comme si tu avais une carte d'identité au nom de "* Martin" et que tu te présentes en tant que "Jacques Martin".
Pour ne pas avoir de warning, il faut que :
1) l'autorité qui a émis les certificats de tes sites soit reconnu par le navigateur
2) le certificat est au nom du site.
[^] # Re: Je le sens mal.
Posté par eggus . Évalué à 1.
tu ne peux pas avoir un certificat avec juste * dans le CN (ou même *.com) pour des raisons évidentes
par contre *.toto.com est possible (sous condition que le domaine toto.com t'appartienne bien sur), et si ce certificat est signé par une CA reconnue par le navigateur tu peux utiliser celui-ci sur tous les sites en *.toto.com sans que celà mette un warning
il faut garder à l'esprit que ce ne sont pas toutes les CA qui offrent la possibilité de signer de tels certificats et qu'en général ce genre de certificats coute environ 5 fois plus cher qu'un certificat normal (j'ai Thawte en exemple en tête, y en a surement d'autres, je sais que verisign en font, mais bon c'est verisign )
dans tous les cas il te faudra faire la meme chose pour *.toto.biz
donc reste à déterminer ce que tu préfères : utiliser plus d'adresses publiques et plusieurs certificats 'normaux' ou bien deux adresses publiques et deux certificats wildcard.
Si c'est à usage interne la question ne se pose plus, tu fais ta propre CA, tu installes le certificat de la CA sur chaque navigateur (ca se fait tout seul) et voilà
[^] # Re: Je le sens mal.
Posté par Greg (site web personnel) . Évalué à 1.
[^] # Re: Je le sens mal.
Posté par zargoun . Évalué à 1.
C'est quoi le probleme avec verisign ?
Sinon chez InstantSSL c'est 961 ¤ pour 3 ans un wildcard (au lieu des 999 ¤ pour 2 ans de chez Thawte (par TBS Internet)... mais l'autorité intermediaire (comodo qcc) n'est pas reconnu partout ...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.