Utiliser SNI SSL

**fwdavy** · 23/08/2010, 19h09

Bonjour,

J'essaye désespérément de faire tourner plusieurs certificat sur des sous domaines différent sur un même serveur mais je n'y arrive pas, mon premier sous domaine passe mais les autres sont squizer.

J'ai pourtant je pense tous fait, j'ai même recompiler apache avec les paquets pour l'openssl SNI mais rien n'y fait.

Est ce quelqu'un si connait et à déjà réussis ça m'aiderais beaucoup !

Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 PHP/5.2.6-1+lenny9 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g configured -- resuming normal operations

**julp** · 23/08/2010, 19h38

A moins de patchs, SNI requiert Apache >= 2.2.12 et OpenSSL >= 0.9.8j.

**fwdavy** · 23/08/2010, 20h21

Pour apache j'ai la apache2-dbg_2.2.9-10 c'est pas la plus récente pourtant la version date du 22-Apr-2010 !? Pour openSSL pareil normalement la 0.9.8g-15+lenny7 est la dernière version

**fwdavy** · 24/08/2010, 11h04

J'ai télécharger les nouvelles sources avec un wget :

http://packages.debian.org/fr/source/squeeze/apache2

Fichier Taille (en ko) Somme MD5
apache2_2.2.16-1.dsc 1,8 ko af1885d5191be56753df26281e5bacc2
apache2_2.2.16.orig.tar.gz 6 219,7 ko 7f33f2c8b213ad758c009ae46d2795ed
apache2_2.2.16-1.diff.gz 198,9 ko e9dbf61876f479c745272bec9bbcad47

ensuite j'ai fait :
dpkg-source -x apache2_2.2.16-1.dsc
cd apache2-2.2.16/
dpkg-buildpackage -us -uc -d

Mais j'obtiens l'erreur suivante à la fin :

make: *** [install] Erreur 127
dpkg-buildpackage: échec: debian/rules binary a produit une erreur de sortie de type 2

Help please !!!!

**fwdavy** · 24/08/2010, 11h22

ok j'ai fais .configure make make install.......bon je continue.

**fwdavy** · 24/08/2010, 14h58

A priori pas possible d'installer une version supérieur d'apache sur debian, la 2.2.16 semble instable. Sinon tu parlais de patcher ?

J'ai trouvé ça ? https://svn.schokokeks.org/repos/ove...2.2.x-sni.diff

**fwdavy** · 24/08/2010, 17h43

Il semble un peu mort ce forum

bon je continue mon monologue....

J'ai appliqué le patch mais ça pose problème par la suite pour la recompilation notamment avec ce patch automatique qui écrit dans les mêmes fichiers que le patch SNI patch 076_CVE-2009-3555 from ./ ... failed.

http://patch-tracker.debian.org/pack....2.9-10+lenny8

076_CVE-2009-3555.dpatch sur dpkg-buildpackage -uc -us -b

Hors j'ai pourtant inclue les correction de ce patch avec le patch SNI aussi est il possible de tous simplement ignoré ce patch lors dpkg-buildpackage ?

**fwdavy** · 24/08/2010, 19h54

Problème résolu, j'ai transpiré je donne la méthode au cas où car je n'ai rien trouvé de tel sur le net, je ne sais pas d'ailleurs si ma méthode est bonne mais elle fonctionne et je n'ai pas d'erreurs dans les logs. Et finallement j'ai réussis a faire tourner le tous sur apache.2.2.9-10 Lenny8 et openssl 0.9.8g :

On doit re-compiler apache avec le patch donc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
cd /var/src/
apt-get source apache2
cd apache2-2.2.9/

*on lance une première compilation pour patcher une première sinon risque de conflit par la suite

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
dpkg-buildpackage -uc -us -b

Maintenant on patch

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
cd modules/ssl/
wget --no-check-certificate <a href="https://sni.velox.ch/misc/httpd-2.2.x-sni.patch" target="_blank">https://sni.velox.ch/misc/httpd-2.2.x-sni.patch</a>
patch -p1 < httpd-2.2.x-sni.patch

*La il faudra parfois corriger manuellement dans les fichiers patché les erreurs

Ensuite on commente le patch 076_CVE-2009-3555.dpatch du paquet

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
cd ../..
nano debian/patches/00list
#076_CVE-2009-3555.dpatch

Puis on relance la compilation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
dpkg-buildpackage -uc -us -b

et on install tous les packet deb créé.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
cd ..
dpkg -i apache2_2.2.9-10+lenny8_all.deb
dpkg -i apache2-mpm-prefork_2.2.9-10+lenny8_amd64.deb
etc etc

Enfin on active dans le Vhost le SNI

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
# Ensure that Apache listens on port 443
Listen 443
 
# Listen for virtual host requests on all IP addresses
NameVirtualHost *:443
 
# Go ahead and accept connections for these vhosts
# from non-SNI clients
SSLStrictSNIVHostCheck off
 
<VirtualHost *:443>
  # Because this virtual host is defined first, it will
  # be used as the default if the hostname is not received
  # in the SSL handshake, e.g. if the browser doesn't support
  # SNI.
  DocumentRoot /www/example1
  ServerName www.example.com
 
  # Other directives here
 
</VirtualHost>
 
<VirtualHost *:443>
  DocumentRoot /www/example2
  ServerName www.example2.org
 
  # Other directives here
 
</VirtualHost>

Utiliser SNI SSL

Apache

Discussions similaires

Partager

Partager