Discussion :

[csseur22]

Bonsoir,

j'héberge 3 sites sur un serveur debian lenny, et pour chacun d'eux j'ai ajouté un certificat ssl auto-signé. Ma config est la suivante: 3 fichiers dans sites-enabled (1 par site) dans lequel on trouve deux virtualhosts: un pour le 80, l'autre pour le 443.

Tout marche sauf que les 3 sites veulent tout le temps utiliser le certificat du premier site installé dans sites-enabled :/

Les sites 2 et 3 sont donc en https avec le mauvais certificat...

Pourquoi ce comportement ?

[_Mac_]

Ce comportement est parfaitement normal, attendu et expliqué. Voir la doc Apache :

The reason is very technical, and a somewhat "chicken and egg" problem. The SSL protocol layer stays below the HTTP protocol layer and encapsulates HTTP. When an SSL connection (HTTPS) is established Apache/mod_ssl has to negotiate the SSL protocol parameters with the client. For this, mod_ssl has to consult the configuration of the virtual server (for instance it has to look for the cipher suite, the server certificate, etc.). But in order to go to the correct virtual server Apache has to know the Host HTTP header field. To do this, the HTTP request header has to be read. This cannot be done before the SSL handshake is finished, but the information is needed in order to complete the SSL handshake phase. Bingo!

Donc voilà, c'est pas possible avec mod_ssl. Tu as 3 options : continuer à utiliser mod_ssl mais en faisant des VH basés sur les ports, continuer à utiliser mod_ssl mais en faisant des VH basés sur les IP (avec éventuellement une combinaison sur les ports), ou utiliser mod_gnutls.

[csseur22]

Merci de la réponse

Faut-il désactiver mod_ssl pour utiliser gnutls ?

[csseur22]

Je viens de tester avec cette config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<VirtualHost *:443>
        ServerName www.domain.com
        ServerAlias domain.com
        DocumentRoot /home/store/website3
 
       GnuTLSEnable on
       GnuTLSCertificateFile /home/cert/domain.crt
       GnuTLSKeyFile /home/cert/domain.key
</VirtualHost>

et j'ai juste un "failed" au reload d'apache. mod_ssl est désactivé.

[_Mac_]

C'est possible. Que disent les logs d'erreur d'Apache ? Comment le module gnutls a-t-il été installé ? Est-il compatible avec ta version d'Apache ? Pour info, ce n'est pas un module standard Apache donc il faut l'installer

[csseur22]

J'ai installé les paquets gnutls et gnutls-bin, tout en ayant désactivé mod_ssl.

J'ai regardé le error.log correspondant au premier VH et il me disait en effet de rajouter GnuTLSPriorities, ce que j'ai fait. Résultat: le serveur apache reboote sans problème, mai les https sont tous injoignables, sans erreur dans les logs.

[csseur22]

Ah si c'est bon ! Bon en fait il faut apparemment laissé mod_ssl activé

merci !

++