Bonjour,
Dans le cadre d'un projet je suis chargé de voir comment configurer une connxion SSL sur un server apache. Etant tout nouveau dans l'univers apache je galère un peu. Je sais qu'il y a des tutos sur le sujet mais j'ai du mal à tout comprendre alors je vais vous expliquer ce que j'ai fait en esperant que vous puissiez m'aider, m'expliquer.
On a donc un serveur apache qui fonctionne. accessible via l'adresse Ip http://XXX.XX.XXX.X/...
Le but étant d'y accéder avec https://XXX.XX.XXX.X/...
Pour générer le certifiact je me suis basé sur openssl et ce lien https://jamielinux.com/docs/openssl-...roduction.html
qui permet de créer des certificats signé par un certificat racine qui permet de ne pas dépendre d'une autorité de certification (il me semble).
j'ai déroulé la procédure et je me retrouve avec un certificat serveur public (domain.cert.pem), sa clé (domain.key.pem), et une chaine de controle basée sur le certificat racine et intermédiaire (ca-chain.cert.pem).
Dans ce tuto il est dit que ces trois éléments doivent être déployer sur le serveur.
Dans le fichier de conf ssl du serveur j'ai donc entré les paramètres suivant:
puis je relance mon serveur et quand je teste d'y accéder via chrome j'ai une erreur net::ERR_CERT_AUTHORITY_INVALID. J'ai importé dans chrome le certificat domain.cert.pem et la chaine de control mais ca ne marche pas.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 <VirtualHost XXX.XX.XXX.X:443> ServerName myServerName [...] SSLProxyEngine On SSLProxyCheckPeerCN on ProxyPass /*** https://*** ProxyPassReverse /*** https://*** SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!EXP:!NULL:!ADH:!LOW:!SSLv2 SSLCertificateFile conf/XXX.XX.XXX.X/domain.cert.pem SSLCertificateKeyFile conf/XXX.XX.XXX.X/domain.key.pem SSLCACertificateFile conf/XXX.XX.XXX.X/ca-chain.cert.pem SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire [...]
Si j'importe mon certificat racine dans les "autorités de certification racine de confiance" cela marche mais l'idée est de ne pas donner mon certificat racine
du coup j'ai plusieurs question car je ne comprends pas vraiment bien ce que je fais.
J'ai lu que le certificat client créé devait avoir le même nom que le domain du serveur.
Ici j'accède à mon serveur via l'IP XXX.XX.XXX.X mais dans mon fichier de configuration le paramètre ServerName est différent (myServerName). Pour le certificat lequel doit-je prendre en compte? (j'ai testé avec les deux sans succès).
Que dois-je importer dans mon navigateur?
Concernant le fichier de configuration est-ce qu'il y aurait quelque chose que j'oublie ou fait mal?
C'est un peu brouillon et j'espère qu'une âme charitable aura un peu de temps pour éclairer ma lanterne.
Cordialement,
Christophe.
Partager