Discussion :

[K-Kaï]

Bonjour, je dois developper un site web pour le transfert de fichier par Internet. La partie application du site est faite en J2EE (servlet, JSP ....)

Pour des raisons de sécurité, j'aimerais sécuriser l'application avec SSL. J'ai bien trouvé des tutoriaux pour utiliser Apache totalement en SSL (un notamment sur developpez.com).

Mais est t'il possible, et c'est ce que j'aimerais mettre en place, de ne sécuriser par HTTPS que certaines page deu site. Par exemple dans mon cas, je ne voudrais protéger par SSL que la connexion du client (login/pass) ainsi que le download et l'upload de fichiers (les taches critiques en somme).
Je comptais ensuite utiliser une simple variable de session ou cookie pour m'assurer que c'est bien un utilisateur enregistré qui consulte certaines pages réservé mais non critiques (diverses consultations ...).

Cela est t'il possible ? Comment (explications, tutos) ? Ou es ce que je me prends la tête pour rien et je mets l'intégralité du site en HTTPS ?

[K-Kaï]

Hop hop hop ptite remonté du topic, je me pose toujours la question ...

[if_zen]

Eh bin mon vieux tu fais pas des folies avec ton post :p

Tu peux installer une vhost dans apache si tu utilises apache. Elle écoutera le port 443, relatif au SSL. Ensuite, ton serveur il faudra le démarrer, et donc le configurer, avec le mode SSL.

exemple de vhost, que tu peux avoir dans un fichier vhost.conf, inclut dans httpd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
<VirtualHost *:443>
    SSLEngine        On
    SSLCipherSuite        ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateKeyFile    conf/ssl/server.key
    SSLCertificateFile    conf/ssl/server.crt
    DocumentRoot        /var/www/localhost/ssl
    ServerName        infoworld.no-ip.org
    CustomLog        /var/log/apache2/ssl_log common
    ErrorLog        /var/log/apache2/ssl_err_log 
    SetEnvIf User-Agent ".*MSIE.*" \
            nokeepalive ssl-unclean-shutdown \
            downgrade-1.0 force-response-1.0
 
    <Directory "/var/www/localhost/cgi-bin/">
        SSLOptions +StdEnvVars
    </Directory>
    <Files ~ "\.(cgi|shtml|phtml|php3|php|inc)$">
        SSLOptions +StdEnvVars
    </Files>
</virtualHost>

DocumentRoot : comme pour le port 80, tu spécifies un root ou tes pages SSL seront stockées.
ServerName... le nom de la voisine
Sinon après y'a pas grand chose à retoucher...
Il te faudra créer un certificat SSL que tu mettras dans le dossier de conf de apache (tu dois avoir un dossier prévu pour), regarde la doc de openssl sur Google par exemple...
Tu l'inclus ensuite dans les 2 premieres lignes (SSLCertificateKeyFile et SSLCerticiateFile)...
Ton lien pour un fichier ssl ident.htm qui se trouve dans /var/www/localhost/ssl ser alors
https://tonserveur/ident.htm
Le formulaire que tu retourne sera alors crypté, et tu peux revenir en mode normal, : <form action="http://tonserveur/tapagedanstondossiernormal.php" ... >

Voili voilou, c'est du rapide, mais bon... Chu au taff à 2 cm de toi alors si t'as un soucis... :-))