[Apache] virtualHost probleme [Résolu]

Je viens d'aller voir et ton certificat est ok, par contre si tu souhaites que le sous-domaine www soit pris en charge, il faut le mettre dans la liste, tu peux aussi utiliser directement *.joupay.fr ce qui prendra en compte tous les sous-domaines.

Concernant cette erreur, ce n'en est pas vraiment une : la sécurité n'étant en rien compromise, c'est simplement que le certificat n'émane pas d'une autorité reconnue par le navigateur (normal : c'est toi l'autorité !) selon le cas tu as plusieurs possibilités :
cas 1 : l'accès sécurisé est réservé aux admins, dans ce cas, il suffit de dire aux admins d'accepter définitivement le certificat et tout sera ok les prochaines fois
cas 2 : l'accès sécurisé est proposé aux non admins, (ie utilisateurs lambda) et là c'est plus délicat, soit c'est un public averti, comme celui de linuxfr.org et là pas de soucis, on fait comme au cas1, si non il faut acheter un certificat.

Le problème c'est qu'un certificat multidomaine payant est plutôt cher pour un "petit" site, sur godaddy (qui est je pense le moins cher du marché) c'est $89.99 pour 1 an soit environ 60€ pour 5 domaines ou sous-domaines (je te donne le lien : https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8901 prend "standard SSL" puis "Multiple Domain UCC")

Une autre solution serait d'avoir plusieurs adresse ip associées à la machine, comme je l'ai dit plus haut, ssl n'accepte qu'un seul et unique certificat par interface, ainsi, à l'aide d'une autre adresse ip, tu pourrais prendre un certificat unique pour un seul sous domaine configurer pour pointer sur cette 2° adresse ip

exemple, www.joupay.fr et staff pointent vers l'ip A et members.joupay.fr pointe vers l'adresse ip B
tu configures les vhosts avec un certif auto signé pour les 2 premiers et un certif payant pour l'autre... mais je crois me souvenir que tu n'as qu'une seule ip sur les dedibox...

Voilà en espérant que tout ça aura aidé :) pour msn... je ne le donnerai pas ici... tu me comprendras aisément je pense...

Ne t'en fais pas si tu as des "ratés" au début pour les certificats, c'est un truc assez spécial mais rien de transcendant une fois qu'on y a plongé le nez (et tout le reste) il suffit de comprendre les mécanismes de base... idem pour la config apache, c'est rebutant au début puis tu t'y mets et là tu t'amuses...

Bon, on reprend....

Quel que soit le nombre de vhost à mettre en place, il est conseillé (mais pas obligatoire !) de mettre en place des vh nommés : les NameVirtualHost qui permettent à Apache d'être plus cohérent dans son écoute des ports et sa gestion des vhost.

Tant que tu n'utilises pas ssl : tout va pour le mieux, mais dès que SSL entre en jeux ça se complique :
1) SSL ne peut être activé qu'avec un et un seul certificat / interface
2) si plusieurs domaines, le certificat doit les identifier tous, donc puisqu'on ne peut en utiliser qu'un ! si non on va avoir un message d'erreur à la con du navigateur disant que le domaine en question est pas géré par le certificat.

L'astuce est donc de faire prendre en compte plusieurs domaines par le certificat (comme décrit dans mon howto).

Pour créer un certificat, il faut une entité racine à laquelle le certificat est rattaché (en comparaison, pour avoir des resortissants français il faut un pays appelé France), il faut donc créer cette entité racine et la placer quelque part : dans le dossier "caroot" dans le howto. les fichiers contenus dans le dossier CA sont les fichiers de l'entité. l'utilité est de pouvoir générer un certificat racine qu'on pourra faire ajouter par les clients et de créer plusieurs certificats à l'aide de cette entité racine. L'autre utilité est de pouvoir scripter le tout et de générer à la volée des certificats pour le serveur comprenant les nouveaux domaines/sous domaines à identifier.

Pour ajouter le nom de domaine au certificat, 2 solutions :
1) si tu as un seul nom de domaine, tu suis le même howto en sautant l'étape 2 et 2 bis et sans spécifier le fichier opensll.cnf, ça te le demandera et il faudra l'entrer en tant que "nom" (ou "nom distingué" ou "distinguished name")
2) si tu as plusieurs domaines, et là tu utilises le howto, à l'étape 2 en reprenant ton exemple, tu entres

DNS.1 = ndd.fr
DNS.2 = www.ndd.fr
DNS.3 = staff.ndd.fr

Concernant l'erreur du NameVirtualHost... lorsque tu utilises la forme qui ne génère pas d'erreur, tu as accès à tous les sites ? et lorsqu'il y a l'erreur ? note que pour le vhost il veut mieux utiliser une adresse ip ou simplement le port par exemple :

<VirtualHost 192.168.0.1:443>
ou
<VirtualHost :443> s'il n'y a qu'une adresse ip associée à ton serveur

D'après ce qu'on peut lire dans la pgae ci-joint il est tout à fait possible d'utiliser plusieur virtualhost avec SSL même sur la même IP :

http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.en

moi j'utilise ca dans mon dossier /vhosts.d/

<VirtualHost staff.ndd.fr:443>
NameVirtualHost staff.ndd.fr
DocumentRoot /home/ndd/staff
ServerName staff.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>
<VirtualHost ndd.fr:443>
NameVirtualHost ndd.fr
DocumentRoot /home/ndd/public_html
ServerName ndd.fr
ServerAlias www.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>

de plus, normalement le Name virtualhost doit etre hors des balises <VirtualHost> et j'ai plusieurs noms de domaine sur la machine (exemple ndd2)

quand je relance apache j'obtiens ca:
[warn] NameVirtualHost ndd.fr:443 has no VirtualHosts

Que faire ?

si je sort NameVirtualHost je ne peut mettre qu'un seul domaine sur le serveur alors qu'il en gère plusieurs.

si j'utilise ca:

NameVirtualHost staff.ndd.fr:443
<VirtualHost staff.ndd.fr:443>
DocumentRoot /home/ndd/staff
ServerName staff.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>
NameVirtualHost ndd.fr:443
<VirtualHost ndd.fr:443>
DocumentRoot /home/ndd/public_html
ServerName ndd.fr
ServerAlias www.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost> 

j'ai le message d'erreur suivant:

NameVirtualHost ndd.fr:443 has no VirtualHosts

Quand j'use que 1 NameVirtualHost je n'obtiens auquin message d'erreur mais je n'ai pas q'un seul nom de domaine sur le serveur.

De plus je n'ai pas compris a quoi servent les fichiers du dossier /caroot/ca

Merci d'avance pour ton aide.

1 derbière question..

comment définir dans la clef de sécurité ssl le nom de domaine associé ?

as tu msn ?

alors....

j'ai utilisé les certificats comme ceci

SSLCertificateFile /etc/apache2/ssl/ca.pem
SSLCertificateKeyFile /etc/apache2/ssl/ca.key

et firefox me dit que le certificat n'est valable que pour le 1er ndd de la liste

pourtant j'ai bien mit ceci:

DNS.1 = ndd.fr
DNS.2 = www.ndd.fr
DNS.3 = staff.ndd.fr

problème résolu merci :)

j'ai lu tout le post et je le trouve très complet mais je tiens à ajouter un petit détail pour tout ceux qui serait intéressé par le simple fait de mettre en place plusieurs clée sur un seule serveur apache cela est possible de la manière la plus simple au monde.

Donc pour ce faire vous aller dans les configuratio de votre carte réseaux et vous ajouter un alias.
donc vous avez deux adresse ce qui vous permet de faire ça.

exemple : deux adresse sur une même carte 192.168.0.4 et 192.168.0.5 admettons que l'on est un serveur sur internet accessible à partit d'une adresse publique donc pas possible vous penser de mettre une adresse en alias et pourquoi pas si vous avait accès au conf de la carte ajouter une alias et peut importe que celle-ci ne soit pas accessible de l'extérieur les première ligne que voici rendront accessible votre serveur sur l'adresse d'alias.

<VirtualHost *:80>
ServerName www.creasimple.com
Redirect / https://www.creasimple.com
##ErrorLog "F:\xamp\xampp\apache\logs\creasimple-error.log"
##CustomLog "F:\xamp\xampp\apache\logs\creasimple-access.log" combined
</VirtualHost>
.
.
.
Mettez autant de redirection que d'alias et donc que de certificat.
LA REDIRECTION N A QU UN BUT FORCER LE PASSAGE EN SSL DONC ELLE N EST PAS OBLIGATOIRE
vous pouvez en ajouter autant que vous voulez des certificats ce n'est pas limité à une seule comme l'a dit une personne sur le post mais je tiens à dire que de base il ou elle a raison mais c'est uniquement dû au norme tcp/ip qui font que pour une adresse ip on ne peut avoir qu'un seul port d'ouvert donc un seule élément (logiciel, programme) d'effetif sur celui-ci alors l'idéal c'est de contourné le probléme de la socket ip/port.

<VirtualHost 192.168.0.4:443>
ServerName cacahuete.com
DocumentRoot F:\xamp\xampp\htdocs\www\creasimple
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile F:\xamp\xampp\apache\conf\ssl.crt\pvkey.crt
SSLCertificateKeyFile F:\xamp\xampp\apache\conf\ssl.key\pvkey.key
</VirtualHost>

<VirtualHost 192.168.0.5:443>
ServerName www.creasimple.com
DocumentRoot F:\xamp\xampp\htdocs\www\creasimple
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile F:\xamp\xampp\apache\conf\ssl.crt\server.crt
SSLCertificateKeyFile F:\xamp\xampp\apache\conf\ssl.key\server.key
</VirtualHost>

voici une alternative au fait de rendre un certificat compatible avec plusieur domaine juste histoire de compléter Le POST QUE JE TIENS A DIRE QUI TRES COMPLET.

il existe une autre méthode si m'est souvenir sont bon mais il faut que je cherche si j'ai le temps je jetterai un coup d'oeil à mes notes.

VIVA LA ENTRAIDA

une réponse intéressante.
pour commencer je te remercie.

mais dans un premier temps je tiens à préciser que l'os que j'utilise sur mon portable effectivement c'est windows mais ce n'est en rien mon serveur juste un poste avec lequel je fait mumuse.
sur mon serveur j'utilse ubuntu server j'espère que c'est convenable.

deuxième temps je devrais me méfier d'avoir mis mon adresse de siteweb ???
bien en ce qui concerne une adresse de site l'intêret principale c'est de la placardé un peu partout car cela permettra peu être un jour à ce que j'obtienne un pagerank convenable. (si je me décide un beau matin a faire un site web sur cette espace que je n'utilise pas d'ailleur bizarre pas tant que ça c'est ce rêve de gamin qui fait que j'ai pris ce nom de domaine car j'adore le mot creasimple et je me suis toujours dit qu'un jour peut être j'en ferai quelque chose de convenable si jamais dans mon minuscule cerveau nait une idée, ma mère dit que je suis quelqu'un qui se sous estime peut - être à t'elle raison)

troisième temps concernant le whois le conseil est intéressant et je vais me renseigner car effectivement je pense qu'à travers le whois on peut remonter jusqu'à moi mais bon c'est valable pour presque tout le monde qui a un nom de domaine donc je vais voir si effectivement je peux faire sauter ce genre de truc.

bon pour finir tous ce que je souhaitai c'est participer moi qui passe mon temps à lire des doc sur ce site je voulais juste contribuer.

Toujours très intéressant mais bon en ce qui me concerne mon site pour l'instant ne risque pas d'être pro vue qu'il n'existe même pas.
Les risque niveau serveur j'en ai pas puisqu'en local je n'ai rien.
concernant la désactivation de mes messages d'erreur effectivement sur un simple portable avec lequel je fais mumuse je n'en vois pas l'intêret mais merci de t'en soucier.
En ce qui concerne mon niveau oui je suis un novice donc ouvert au critique ce qui me permettra peut-être d'évoluer un peu.
Concernant les risque d'ursupation d'identité cela reste possible bien que dans mon cas j'habite plus à l'endroit du whois, je n'ai pas le même numéro de téléphone mais bon comme je l'ai dit cette remarque et pertinente et je compte voir si je peux pas faire sauter ce genre de truc.
Pour finir vue la masse de cv qu'on peut trouver sur internet je crois que eu aussi on du soucie à se faire niveau ursupation d'identité c'est difficile de juger de ce que l'on peut publier ou pas, par exemple sur les pages blanche on trouve autant d'information sur n'importe qui que sur un whois donc je pense que on est nombreux à avoir du soucie à se faire.
Pour finir concernant le pagerank j'aimerai avoir tes lumières sur tout ce que j'ai lu il disait que le référencement d'un site dépend des annuaires dans lequel on le référencé que c'était à ce niveau qu'il fallait faire attention à la rubrique et à la description que l'on en donné et que les liens sur internet en améliorer le pagerank dans mon cas vue que le site n'existe pas et qu'il n'existera probablement jamais il est difficile d'imaginer que j'aille le référencer mais bon le placarder un peu partout je ne vois pas en quoi c'est mal surtout quand en plus on en profite pour aider.
Mais bon en ce qui me concerne je ne compte plus revenir sur ce Post car celui-ci concerne le virtual hosting et non pas le pagerank si tu souhaite me répondre concernant le pagerank et son fonctionnement histoire de faire grandir mon petit savoir je t'en remercie d'avance envoie moi la réponse par mail.
Avoir de l'humilité nous permet d'apprendre de tout ce que l'on rencontre et dans mon cas j'en ai des choses à apprendre :)
il serait dommage de souiller un Post aussi intéressant par nos discussion périphérique lié à d'autre sujet.

j'ai oublié de mettre mon adresse mail de contact tien : aaatomos5@gmail.com

j'avais dit que je lirai mes notes et que je mettrai la deuxième solution c'est chose faite donc en faite je dois d'abord rectifier le fait que pour le raccourcie dans mes note j'ai écrit que cela ne fonctionne pas en faite la solution c'est de tout faire dans la première redirection et d'ajouter plusieur possibilité de redirection
exemple :
redirect /domain1.php /domain1/repertoire
redirect /domain2.php /domain2/repertoire
mais bon si pour vous tout fonctionne alors n'en faite rien.

La deuxième solution c'est de faire plusieur port pour une même ip mais l'inconvénient c'est lors de l'affichage à la redirection cela donne https://domain:4443/rep ce qui est laid à voir mais cela fonctionne.
dans le fichier httpd-ssl.conf vous ajouter un listen 4443 pour l'exemple ou ce que vous voulais mais s'assurer que le port est libre.(autant de listen que de certificat et le reste ce fait dans le virtualhost au niveau de la redirection Redirect /domain1.php https://domain:4443/rep/) contrairement à la première méthode celle ci peut fonctionner sur internet tandis que l'autre celle des alias n'est probable que dans un lan mais je peux me tromper.
voilà j'ai mis la deuxième méthode j'espère que cela profitera au petite tête vide comme moi sans prétention qui essaye de faire grandir leur savoir.
chaoooo

personne a une petite idée ?

salut,

Si mes vagues souvenirs sont plus ou moins bons ... quand tu fais un virtual host, tu as le choix par IP ou par Nom de domaine.

Or d'entrée de jeu , tu as fait des alias par IP ... d'autre part la config SSL est stockée normalement ailleurs et n'intervient pas la conf des virtualhosts ... sur ce point il faut confirmer/chercher.

Donc ta remarque :


- toto.domaine.fr est l'autre site qui utilise aussi le port 443, j'ai l'impression qu'apache s'arrete sur ce virtualHost et ne continue pas.

est juste ... l'hote virtuel par défaut est le premier dans la liste...

Essaye de créer des virtualhosts par nom de domaine, ainsi tu pourras joindre les deux adresses dns sur le port 80 et 443, tu pourras choisir d'activer séparément l'un ou l'autre port...

Il faut cependant créer des jeux de certificats propres à chaque nom de domaine, pour avoir une connexion SSL fiable et sans avertissements.

Bons tests !

réponse un peu tardive, merci de ton aide kelux, mais en fait en postant sur le forum d'Apache, on m'a fait comprendre qu'on ne peut avoir qu'un seul domaine sécurisé par adresse IP publique, il est donc impossible d'ecrire plusieurs virtual host sur le port 443.

voilou