Forum Programmation.web faire du HTTPS ?

Posté par .
Tags : aucun
0
2
fév.
2005
Bonjour,
je devellope un petit site "intranet" à l'aide d'un mdk 10.0 Official (avec du php mysql...) dans une configuration "de base" quasiment "out of the box" sans probleme si tellement de competence, bref ca se passe bien.

J'aimerais bien que mes pages soient accessible par le biais de HTTPS. (et non plus par HTTP)
et franchement j'y comprends pas grand chose aux "certificats" et je ne sais pas ce que je dois configurer sur le serveur... sur les clients (FFx et IE6, (désolé)) ?

Bref, je suis perdu.

une âme charitable pour me donner des éléments, pistes, liens, astuces ?

merci.
  • # re

    Posté par . Évalué à 2.

    apache-ssl : http://www.apache-ssl.org(...)
    modssl: http://modssl.org(...)
    apache: http://httpd.apache.org(...)
    openssl: http://www.openssl.org(...)

    Ces quatres sites regorgent d'informations pouvants répondre à ta problématique.
    • [^] # Re: re

      Posté par . Évalué à 2.

      Merci pour ces sites, j'y ai jeté un coups d'oeuil, mais heu.. honetement.. heu.... comment dire :
      Je ne connais rien a cette technologie, je ne sais pas comment ca marche, qui doit faire un certificat ? (qqun de l'exterieur) ca se stoque ou ? .... enfin plein de question que ce pose un debutant.
      Ensuite, ben ouais apache-ssl j'imagine que c'est le packet a installer... mais ca m'aide pas.
      Par exemple, moi openssl, je l'utilise juste en ligne de commande pour (de)chiffrer un fichier, je sais que ca peut faire plein de chose, mais l'adresse du site ne m'explique pas comment je dois faire :)
      (un peu comme si on dirigeait un debutant linux vers kernel.org :) )

      Même s'ils regorgent d'informations je n'ai pas encore le niveau pour savoir de demerder juste avec ces 4 url, j'ai besoin qu'on explique.

      merci a vous.
      • [^] # Re: re

        Posté par . Évalué à 8.

        En fait, tu peux faire du HTTPS avec un simple cerificat (couple clef publique/clef privée) généré via openssl, mais tu vas avoir le droit à des avertissement lors de l'utilisation de ton site (comme par exemple qd tu vas https://linuxfr.org(...)).

        Cet avertissement est du au fait que pour être vraiment de "confiance" un certificat doit avoir été signé par une autorité de certification (comme Verisign).

        Sur chaque ordinateur, les certificats racine de Verisign est des autres sont installés (jette un oeil à ton browser préféré pr confirmer), et généralement quand une société met en place un HTTPS, elle achète un certificat signé par une de ces autorités.

        Le certificat étant signé par un "grand nom", il est reconnu comme sûr.
        Jette un oeil au certificat de LinuxFR, tu constateras que celui ci contient des informations concernant la machine hebergeant le service, car un certificat est propre à une hôte donnée (en théorie).

        Si tu es sur le point de mettre en place 118000 HTTPS, tu peux acheter un certificat un peu plus couteux chez une autorité mais qui te permettra de signer tes propres certificats.

        Pour finir, si ton https est voué à ne servir qu'à un groupe limité et connu de machine clientes, alors tu peux procéder ainsi:

        1/ Créer un certificat dit racine (X509 autosigné).
        2/ Créer un certificat normal
        3/ Signer ton certificat normal avec ton certificat racine
        4/ installer ton certificat racine sur tes postes clients.

        C'est, à mon avis, la manip la plus simple et la plus secure.

        Mes connaissances sont assez maigres en ce qui concerne tout cela, donc je pourrais difficillement t'en dire plus.
        J'ai appris ça via des lectures à droite à gauche sur le net, donc je pense que tu dois pouvoir réussir à trouver plus de détails.
        • [^] # Re: re

          Posté par . Évalué à 3.

          un grand merci !

          a vous deux (voir le fils un peu plus bas) vous m'avez donnez de bonnes base (oui ce ne sont que des bases mais je sais un peu où je vais maintenant).

          je ne manquerais pas de pertimenter.

          vos explications ainsi que tes liens devrai bien m'aider. c'est vachement plus clair déjà...

          (si qqun veux ajouter qqchose, je ne suis pas contre hein ;) )
  • # Hum

    Posté par (page perso) . Évalué à 5.

    réponse rapide, car j'ai pas trop le temps là, mais déjà :
    sur les clients tu n'as rien a faire, il faudra juste que ces derniers acceptent le certificat que tu auras installé pour basculer en https

    Donc de ton coté, tu dois généré un certificat, donc plusieurs méthode, dont la plus simple, essayer de voir si un paquet pour ta mandrake ne s'appele pas apache-ssl ou un truc assimilé.

    Sous debian ca te préconfigure tout, et ca te créé meme un certificat à la volée.

    Si tu n'en as pas, alors il va falloir le créer a la main, via openssl.
    Vérifie que openssl est installé sur ta machine, et si c'est le cas, alors il ne reste plus qu'a chercher sur google comment te servir de openssl et plus particulierement de l'option --gen-key. (c'est pas bien dur ne t'inquiete pas, allez, des mots clé google car j'suis gentil : openssl --gen-key certificat autosigné)

    Voilà,
    bonne chance
    • [^] # Re: Hum

      Posté par . Évalué à 2.

      merci, c'est interessant,
      j'essaie de resumer (corrigez-moi hein) :

      il faut un certificat "autosigné".
      ce certificat peut être optenu de 2 manieres (???) :
      - apache-ssl
      - openssl

      j'imagine qu'il faut quand même installer apache-ssl.

      bon, et comment je fait ensuite pour faire en sorte que les pages web ne soient plus accessible par HTTP (niquement par HTTPS)

      J'avoue que si qqun ayant une mdk la deja fait, ca me rassurerait qu'il me donne des infos a ce sujet.


      et au fait, comment savoir si j'ai pas déjà un certificat ? ils sont visible ou ?

      merci.
      • [^] # Re: Hum

        Posté par (page perso) . Évalué à 5.

        non apache-ssl c'est un paquet tout fait qui te parametre ton apache pour que ca marche directement, donc il te propose aussi de créer un certificat lors de l'installation. Mais ce certificat est créé en arriere plan a l'aide d'openssl.

        Donc si mandrake n'a pas packagé un paquet apache-ssl, il faut générer le certif a la mimine.

        En fait la solution que je t'ai donné c'est pas LA solution. En fait dans l'idéal ton certificat doit etre signé par un CA (un tiers de confiance, tels que verisign, thawte, etc), mais c'est payant.
        Donc du coup on se certifie soit meme ("je certifie que je suis sûr"), et ca permet de tester le https a la maison (ou meme en production si on s'en tappe des warnings que vont générer les clients web), sans avoir a payer un tiers de confiance

        Là avec ton certif une fois créé et mis a la racine de ton serveur web, un détour sur le https://127.0.0.1(...) t'affichera un gros message genre "attention, le détenteur du certif indique qu'il est sûr, mais faites gaffe car c'est pas forcément vrai, pas de tiers de confiance, bla bla)
        Tu clique sur "accepter le certif temporairement", et zou, le ptit cadenas en bas a droite :)

        Bon autrement, comme on te l'a déjà dit, un ptit détour sur apache-ssl.org, ca fait pas de mal.

        Et après réflexion, apache-ssl doit exister sur mandrake, ca me parait évident.

        Les certif sont des fichiers .crt situés généralement à la racine du dossier de conf d'apache (/etc/apache)

        voila.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.