Discussion :

[glubby]

Bonjour,

Pour l'un de mes projets, il faut que je mette en place de l'authentification forte via certificats sur un serveur apache. La particularité c'est que c'est le serveur Apache qui doit s'authentifier en tant que client.

J'ai cherché sur le net et dans la doc du mod_ssl, mais toutes les infos que j'ai trouvé ne traite que l'authentification forte entre un navigateur et le serveur apache. Je vous remercie d'avance pour votre aide.

glubby

[_Mac_]

Comment un des Apache se retrouve client de l'autre ? Tu veux parler de mod_proxy ?

[glubby]

Salut,

En fait, le premier serveur Apache (A1) fait office de reverse proxy. Il reçoit les requêtes du client et les forward au second serveur Apache (A2). Mais, avant de les forwarder, il faut que je mette en place de l'authentification forte entre A1 et A2.

Sur A2 pas de problème, je l'ai déjà fait mais sur A1 ?????

[_Mac_]

Tu utilises donc mod_proxy ? Dans ce cas, depuis Apache 2, il est possible de préciser à mod_proxy le certificat SSL à utiliser lorsqu'il se connecte au serveur distant. Ce sont toutes les directives SSLProxy*. Entre autres :

• SSLProxyEngine : à mettre à On pour activer le SSL sur le reverse proxy
• SSLProxyCACertificateFile : concaténation des certificats au format PEM des CA utilisés par les serveurs distants
• SSLProxyMachineCertificateFile : concaténation des fichiers au format PEM pour la clé privée et les certificats du reverse proxy en tant que client

Ca doit donner quelque chose comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
# Activation du SSL pour mod_proxy
SSLProxyEngine on
 
# Clef privee et certificat du reverse proxy
SSLProxyMachineCertificateFile /.../reverse_proxy.pem
 
# Certificat du CA du serveur distant
SSLProxyCACertificateFile /.../ca.pem
 
ProxyPass /xxx https://serveur_distant/yyy/
ProxyPassReverse /xxx https://serveur_distant/yyy/

Et sur le serveur distant tu mets un SSLVerifyClient require, éventuellement un SSLRequireSSL et surtout un SSLCACertificateFile avec les certificats au formats PEM du reverse proxy et de son CA.

Un autre exemple ici.

Si le serveur distant (protégé par le reverse proxy) doit récupérer le certificat client, tu auras peut-être un problème car pour le serveur distant, le vrai client c'est le reverse proxy.

[glubby]

Merci pour ta réponse. En ce moment, je n'ai pas la main sur ma maquette. Je te ferai un retour dès demain.

Pour ce qui concerne le certificat du client, je le forward dans les headers de la requête émise sur A1. Je n'ai plus le nom de la directive Apache en tête, mais je te dis ça dès demain.

Merci

[glubby]

Salut,

J'utilise bien le mod_proxy. Je suis en train d'appliquer ta configuration. Je te dirai si ça fonctionne ou pas.

merci