High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

[Apache] virtualHost probleme

Dernière réponse le 17 sep 2009 à 23:03:23 wind_of_o, le 18 jui 2007 à 16:21:45 
 Signaler ce message aux modérateurs

Bonjour,

Je n'arrive pas à faire fonctionner correctement mon Apache. Voici ma configuration

/etc/apache2/site-available/default

LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" comonvhost
CustomLog /var/log/apache2/comonvhost.log comonvhost

NameVirtualHost 192.168.0.14:80
NameVirtualHost 192.168.0.14:443

# TOTO
<VirtualHost 192.168.0.14:80>
ServerName toto.domaine.fr
DocumentRoot /var/web/domaine.fr/toto
</VirtualHost>
<VirtualHost 192.168.0.14:443>
ServerName toto.domaine.fr
DocumentRoot /var/web/domaine.fr/toto
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/ssl/apache/server.crt
SSLCertificateKeyFile /etc/ssl/apache/server.key
</VirtualHost>

# YOUPI
<VirtualHost 192.168.0.14:443>
ServerName youpi.domaine.fr
DocumentRoot /var/web/domaine.fr/youpi
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/ssl/apache/server.crt
SSLCertificateKeyFile /etc/ssl/apache/server.key
</VirtualHost>


si je teste l'url http://toto.domaine.fr ou https://toto.domaine.fr tout marche nickel.
Par contre l'url https://youpi.domaine.fr ne fonctionne pas du tout. j'ai cette réponse de mon navigateur:

Connexion interrompueLa connexion avec youpi.domaine.fr a été interrompue pendant le chargement de la page. etc...


si je regarde mes logs (comonvhost.log) j'ai ca:

toto.domaine.fr 192.168.0.12 - - [18/Jul/2007:14:16:37 +0200] "\x16\x03\x01" 302 - "-" "-"
toto.domaine.fr 192.168.0.12 - - [18/Jul/2007:14:16:37 +0200] "\x16\x03" 302 - "-" "-"


- toto.domaine.fr est l'autre site qui utilise aussi le port 443, j'ai l'impression qu'apache s'arrete sur ce virtualHost et ne continue pas.
- 192.168.0.12 etant mon DNS ce dernier etant bien configuré à n'en pas douter.
- visiblement un code commençant par 3 (302) résulte d'une redirection.

voila j'y pige que dalle

merci de votre aide.

Wind

Configuration: Debian
Apache 2.2.0

Meilleures réponses pour « [Apache] virtualHost probleme » dans :
Configurer Apache et Windows pour créer un hôte virtuel VoirIntroduction Comme tout webmaster, lorsque vous créez votre premier site, vous installez sans doute un logiciel comme WAMP ou EasyPhp. Vous mettez alors votre site dans le répertoire /www/ et celui ci est alors accessible via l'url...
Installation rapide de LAMP (Apache+MySql+php) sous Linux VoirLAMP = Linux+Apache+MySql+Php. C'est le serveur web par excellence. L'ensemble est facile à installer. Installation rapide sudo aptitude install apache2 php5 mysql-server php5-mysql libapache2-mod-php5 Le mot de passe administrateur mySQL...
[Apache] Analyse du trafic web en temps réel Voir
Apache - Les fichiers .htaccess VoirLes fichiers .htaccess sont des fichiers de configuration d'Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires (qui n'ont pas de tel fichier à l'intérieur). On peut les utiliser pour protéger un répertoire...
Installation d'un serveur Web sous Linux (Apache, PHP et MySQL) VoirIntroduction Un serveur web est un logiciel permettant de rendre accessibles à de nombreux ordinateurs (les clients) des pages web stockées sur le disque. Cette fiche pratique explique comment installer le serveur web Apache sur un système de type...
Posez votre question Répondre

1

wind_of_o, le 19 jui 2007 à 10:05:07

Personne a une petite idée ?

   
Répondre à wind_of_o

2

kelux, le 19 jui 2007 à 16:42:57

Salut,

Si mes vagues souvenirs sont plus ou moins bons ... quand tu fais un virtual host, tu as le choix par IP ou par Nom de domaine.

Or d'entrée de jeu , tu as fait des alias par IP ... d'autre part la config SSL est stockée normalement ailleurs et n'intervient pas la conf des virtualhosts ... sur ce point il faut confirmer/chercher.

Donc ta remarque :


- toto.domaine.fr est l'autre site qui utilise aussi le port 443, j'ai l'impression qu'apache s'arrete sur ce virtualHost et ne continue pas.

est juste ... l'hote virtuel par défaut est le premier dans la liste...

Essaye de créer des virtualhosts par nom de domaine, ainsi tu pourras joindre les deux adresses dns sur le port 80 et 443, tu pourras choisir d'activer séparément l'un ou l'autre port...

Il faut cependant créer des jeux de certificats propres à chaque nom de domaine, pour avoir une connexion SSL fiable et sans avertissements.

Bons tests !
Luc L.
[Gentoo Is Good]

   
Répondre à kelux

3

wind_of_o, le 9 aoû 2007 à 14:26:06

Réponse un peu tardive, merci de ton aide kelux, mais en fait en postant sur le forum d'Apache, on m'a fait comprendre qu'on ne peut avoir qu'un seul domaine sécurisé par adresse IP publique, il est donc impossible d'ecrire plusieurs virtual host sur le port 443.

voilou

   
Répondre à wind_of_o

4

pas_la_peine, le 17 fév 2008 à 11:20:24

D'après ce qu'on peut lire dans la pgae ci-joint il est tout à fait possible d'utiliser plusieur virtualhost avec SSL même sur la même IP :

http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.en­

   
Répondre à pas_la_peine

5

Arthur Dent, le 28 mai 2008 à 03:37:17

J'ai moi aussi trouvé cette page mais j'ai testé et ça ne fonctionne pas, de prime abord car il est tard et je m'arrache les tifs là dessus depuis des heures... si je reteste et que j'y arrive, je poste un tuto ici-même :) si non, c'est que ça ne marche pas du tout...

   
Répondre à Arthur Dent

6

Arthur Dent, le 29 mai 2008 à 01:22:04

C'est re-moi !

Alors en fait ça marche, c'était vraiment que j'était tout naze hier, comme promis voila le tuto :

1 créer un dossier (nommons-le "caroot") et se placer dedans : 

mkdir caroot ; cd ./caroot

2 créer dans caroot un fichier "openssl.cnf" 
nano openssl.cnf
et y placer le code suivant en adaptant aux besoins : 
[ ca ]
default_ca      = CA_default

[ CA_default ]
dir             = .
certs           = $dir/ca/certs
new_certs_dir   = $dir/ca/newcerts
database        = $dir/ca/index.txt
certificate     = $dir/ca/ca.pem
serial          = $dir/ca/serial
private_key     = $dir/ca/ca.key
default_days    = 3650
default_md      = sha1
preserve        = no
policy          = policy_match

[ policy_match ]
organizationName        = match
commonName              = supplied
emailAddress            = optional

[ req ]
distinguished_name      = req_distinguished_name

[ req_distinguished_name ]
organizationName                = Organisation
organizationName_default        = Herve Schauer Consultants
commonName                      = Nom ou URL
commonName_max                  = 64
emailAddress                    = Adresse Email
emailAddress_max                = 40

[CA]
nsComment                       = "[Breve HSC] CA"
subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer:always
basicConstraints                = critical,CA:TRUE,pathlen:0
keyUsage                        = keyCertSign, cRLSign

[SERVEUR]
nsComment                       = "Certificat Test"
subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer:always
issuerAltName                   = issuer:copy
basicConstraints                = critical,CA:FALSE
keyUsage                        = digitalSignature, nonRepudiation, keyEncipherment
nsCertType                      = server
extendedKeyUsage                = serverAuth
subjectAltName                  = @ALIASES

[ALIASES]
DNS.1 = foo.hsc.fr
DNS.2 = bar.hsc.fr

tout à la fin, c'est là que vous allez placer vos domaines, pensez que vous pouvez utiliser des wildcards : *.monsite.tld par exemple, pensez aussi qu'il faut que les numéros se suivent : 
DNS.1 = domaine
DNS.2 = domaine2
DNS.3 = domaine3
.
.
.
DNS.25 = domaine25


sauvegardez
2bis (optionnel) créer un fichier "responses" 
nano responses
et placez-y dedans les réponses aux questions qui vous serons posées, à savoir l'organisation (votre boîte, asso, ceque vous voulez), "nom ou URL" là aussi, placez-y ce que vous voulez (on s'en fou puisque cette valeur sera outrepassée par ce qu'on a mis dans la secion ALIASES et un email, soit, par exemple : 
Monster Inc.
monsters-inc.com
mike@monsters-inc.com
y
y
(pensez bien à la dernière ligne vide) ce fichier permettra de répondre automatiquement aux questions, mais vous pouvez sauter cette étape. Si vous utilisez cette méthode, rajoutez " < responses" à la fin des commandes du point 4, 5 et 7 comme par exemple 
openssl req -new -x509 -config ./openssl.cnf -extensions CA -sha1 -newkey rsa:1024 -nodes -days 3650 -keyout ca/ca.key -out ca/ca.pem < responses


3 créez les dossiers de l'autorité racine : 
mkdir -p ./ca/newcerts && touch ./ca/index.txt && echo '01' > ./ca/serial

4 créez le certificat de base de l'autorité : 
openssl req -new -x509 -config ./openssl.cnf -extensions CA -sha1 -newkey rsa:1024 -nodes -days 3650 -keyout ca/ca.key -out ca/ca.pem
puis 
openssl req -new -config ./openssl.cnf -newkey rsa:1024 -nodes -keyout serveur.key -out serveur.csr

5 auto-signez le certificat de l'autorité : 
openssl ca -config ./openssl.cnf -extensions SERVEUR -in serveur.csr -out serveur.pem

6 créez un dossier pour retrouver rapidement les certificats, disons dans le dossier d'apache, par exemple pour apache2 : 
sudo mkdir /etc/apache2/cert

7 créer les certificats pour apache : 
sudo openssl req -x509 -config ./openssl.cnf -extensions SERVEUR -nodes -days 3650 -newkey rsa:1024 -out /etc/apache2/cert/server.crt -keyout /etc/apache2/cert/server.key

8 créer les vhosts pour ssl comme d'hab, avec le nameVirtualHost,, en spécifiant les certificats créés au point 7
9 rechargez la conf apache et les fichiers associés : 
sudo /etc/init.d/apache2 force-reload

10 enjoy :)

Lorsque vous vous connecterez à votre site en https, vous aurez une alerte vous disant que le certif est issu d'une autorité non reconnue blah blah et vous pourrez examiner le certificat, si vous le faites vous verrez dans les champs du certificat au champ "[nom de l'autorité] > certificat > extensions >Nom alternatif du sujet du certificat un truc du genre :
Non critique
Nom DNS: domaine1.tld
Nom DNS: domaine2.tld
Nom DNS: domaine3.tld


vs certificats seront partagés par les domaines, c'est ce qu'on voulait !

références/voir aussi :
http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr [FR]
http://wiki.cacert.org/wiki/VhostTaskForce [EN]

   
Répondre à Arthur Dent

17

Barrez, le 16 jan 2009 à 16:48:58

Merci pour ce tuto

J'arrive bien à générer tout les certif et key, et apache démarre sans erreur, mais quand je tape mon adresse dans firefox, il me répond : 

Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à post.fso-multimedia.fr.
SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.

J'ai une ip et plusieurs domaines avec pour chacun un site et une messagerie (enfin c'est ce que je cherche à avoir)
Ma config DNS : 
www.fso-multimedia.fr IN A 91.121.11.172
post.fso-multimedia.fr IN A 91.121.11.172

Ma config apache 
<IfDefine SSL>
<IfDefine !NOSSL>

NameVirtualHost post.fso-multimedia.fr:443
<VirtualHost post.fso-multimedia.fr:443>

	DocumentRoot "/home/post"
	ServerName post.fso-multimedia.fr:443
	ServerAdmin webmaster@fso-multimedia.fr
	ErrorLog /var/log/apache2/error_log
	TransferLog /var/log/apache2/access_log

	SSLEngine on
	SSLCertificateFile /etc/apache2/cert/server.pem
	SSLCertificateKeyFile /etc/apache2/cert/server.key
	<Files ~ "\.(cgi|shtml|phtml|php3?)$">
	    SSLOptions +StdEnvVars
	</Files>

	<Directory "/srv/www/cgi-bin">
	    SSLOptions +StdEnvVars
	</Directory>

	SetEnvIf User-Agent ".*MSIE.*" \
		 nokeepalive ssl-unclean-shutdown \
		 downgrade-1.0 force-response-1.0
	CustomLog /var/log/apache2/ssl_request_log   ssl_combined

</VirtualHost>                                  

</IfDefine>
</IfDefine>


Dans la doc de la suse, il préconise de mettre le NameVirtualHost dans le fichier listen.conf, mais ça ne change rien.

Aurais-tu une idée du problème ?

Merci

   
Répondre à Barrez

18

Arthur Dent, le 17 jan 2009 à 17:38:28

Plusieurs choses :

Namevirtualhost attend une adresse ip et un port... pas de domaine

En suite, tu as pas mal d'options obsolètes dans la def de ton vhost... essaye 

NameVirtualHost     91.121.11.172:443

# force la connexion https même si on accède via http
<VirtualHost 91.121.11.172:80>
    ServerName   post.fso-multimedia.fr/
    Redirect / https://post.fso-multimedia.fr/
</VirtualHost>

<VirtualHost 91.121.11.172:443>
    ServerName post.fso-multimedia.fr
    DocumentRoot /home/post/

    SSLEngine on
    SSLCertificateFile /etc/apache2/server.crt
    SSLCertificateKeyFile /etc/apache2/server.key
</VirtualHost>


Par ailleurs, que disent les logs ?

   
Répondre à Arthur Dent

19

Barrez, le 17 jan 2009 à 19:01:53

Merci

j'ai résolu mon problème entre temps, en utilisant les nom de domaine quand même.
J'ai juste viré 

<IfDefine SSL>
<IfDefine !NOSSL>

qui encadrait la def, et sa marche. Mais je me doute que ce n'est pas satisfaisant. Il doit quand même manquer un truc dans ma config.
Je vais quand même adopté ton code (avec le nom de domaine ;) ) ça me plait bien.
Si tu as une idée pour le IfDefine.

Merci encore

   
Répondre à Barrez

20

Arthur Dent, le 17 jan 2009 à 23:44:50

Pour le NameVirtualHost, je ne peux que te répéter qu'il lui faut une adresse ip même si tu peux donner un nom d'hôte, simplement parce que lorsque tu donnes un nom d'hôte, apache devra faire la résolution de nom, donc appel à un serveur DNS qui lui renverra... sa propre adresse IP... avoue que rajouter de la latence "parce qu'on aime bien" est un peu dénué de sens... à mois que tu aimes que les accès à ton serveur aient un poil de latence en plus, pour faire old school...

Concernant les if define : le !nossl est obsolète pour ne pas dire erroné, et le ssl ne sert pas à grand chose, puisque, logiquement, tu as activé ssl et qu'en plus tu ne sembles pas donner d'alternative lorsque ssl n'est pas activé... d'autant que "ssl" et "!nossl" sont équivalents, logiquement...

   
Répondre à Arthur Dent

21

Barrez, le 18 jan 2009 à 18:19:22

Oui, bon, la tu es convaincant.
Merci de tes lumières.

   
Répondre à Barrez

7

rebel, le 9 aoû 2008 à 21:12:41

Moi j'utilise ca dans mon dossier /vhosts.d/

<VirtualHost staff.ndd.fr:443>
NameVirtualHost staff.ndd.fr
DocumentRoot /home/ndd/staff
ServerName staff.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>
<VirtualHost ndd.fr:443>
NameVirtualHost ndd.fr
DocumentRoot /home/ndd/public_html
ServerName ndd.fr
ServerAlias www.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>

de plus, normalement le Name virtualhost doit etre hors des balises <VirtualHost> et j'ai plusieurs noms de domaine sur la machine (exemple ndd2)

quand je relance apache j'obtiens ca:
[warn] NameVirtualHost ndd.fr:443 has no VirtualHosts

Que faire ?

   
Répondre à rebel

8

rebel, le 9 aoû 2008 à 21:13:35

Hop pour recevoir la notification par mail ...

   
Répondre à rebel

9

Arthur Dent, le 9 aoû 2008 à 22:14:02

Comme tu le dis si bien, le NameVirtualHost doit se trouver hors de la définition d'un Vhost, or si tu te relis... ça n'est pas le cas dans le code que tu proposes en exemple...
Ce message d'erreur survient lorsque tu as un NameVirtualHost de spécifié mais sans vhost s'y référent.

Solution à ton souci : mettre le NameVirtualHost là où il faut...

Par ailleurs, le fait de spécifier le même certificat pour tous les vhosts, ok, mais l'erreur renvoyée par les navigateurs n'est alors plus "on ne connaît pas l'émetteur du certificat" mais un truc style "attention, le certificat a été fait pour un autre domaine que celui-ci, il ce peut que ça soit une tentative de phishing blah blah blah" et dans ce cas faire accepter l'entité racine ou le certificat ne suffit pas pour éradiquer l'apparition des alertes... il est certain que ça ne change rien à la sécurité, et que pour une utilisation perso, on s'en tape, par contre en entreprise ... beaucoup moins...

Et puis la méthode que j'ai donné peut servir aussi à créer une demande de certificat en vue d'obtenir un certificat d'une autorité de certification, comme CaCert.

   
Répondre à Arthur Dent

10

rebel, le 9 aoû 2008 à 22:30:11

Si je sort NameVirtualHost je ne peut mettre qu'un seul domaine sur le serveur alors qu'il en gère plusieurs.

si j'utilise ca: 

NameVirtualHost staff.ndd.fr:443
<VirtualHost staff.ndd.fr:443>
DocumentRoot /home/ndd/staff
ServerName staff.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>
NameVirtualHost ndd.fr:443
<VirtualHost ndd.fr:443>
DocumentRoot /home/ndd/public_html
ServerName ndd.fr
ServerAlias www.ndd.fr
CustomLog /home/ndd/logs/access_log_test combined
ErrorLog /home/ndd/logs/error_log_test
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/server.crt
SSLCertificateKeyFile /etc/apache2/ssl/server.key
</VirtualHost>


j'ai le message d'erreur suivant: 
NameVirtualHost ndd.fr:443 has no VirtualHosts


Quand j'use que 1 NameVirtualHost je n'obtiens auquin message d'erreur mais je n'ai pas q'un seul nom de domaine sur le serveur.

De plus je n'ai pas compris a quoi servent les fichiers du dossier /caroot/ca

Merci d'avance pour ton aide.

   
Répondre à rebel

11

rebel, le 9 aoû 2008 à 22:31:03

1 derbière question..

comment définir dans la clef de sécurité ssl le nom de domaine associé ?

   
Répondre à rebel

12

Arthur Dent, le 9 aoû 2008 à 23:04:37

Bon, on reprend....

Quel que soit le nombre de vhost à mettre en place, il est conseillé (mais pas obligatoire !) de mettre en place des vh nommés : les NameVirtualHost qui permettent à Apache d'être plus cohérent dans son écoute des ports et sa gestion des vhost.

Tant que tu n'utilises pas ssl : tout va pour le mieux, mais dès que SSL entre en jeux ça se complique :
1) SSL ne peut être activé qu'avec un et un seul certificat / interface
2) si plusieurs domaines, le certificat doit les identifier tous, donc puisqu'on ne peut en utiliser qu'un ! si non on va avoir un message d'erreur à la con du navigateur disant que le domaine en question est pas géré par le certificat.

L'astuce est donc de faire prendre en compte plusieurs domaines par le certificat (comme décrit dans mon howto).

Pour créer un certificat, il faut une entité racine à laquelle le certificat est rattaché (en comparaison, pour avoir des resortissants français il faut un pays appelé France), il faut donc créer cette entité racine et la placer quelque part : dans le dossier "caroot" dans le howto. les fichiers contenus dans le dossier CA sont les fichiers de l'entité. l'utilité est de pouvoir générer un certificat racine qu'on pourra faire ajouter par les clients et de créer plusieurs certificats à l'aide de cette entité racine. L'autre utilité est de pouvoir scripter le tout et de générer à la volée des certificats pour le serveur comprenant les nouveaux domaines/sous domaines à identifier.

Pour ajouter le nom de domaine au certificat, 2 solutions :
1) si tu as un seul nom de domaine, tu suis le même howto en sautant l'étape 2 et 2 bis et sans spécifier le fichier opensll.cnf, ça te le demandera et il faudra l'entrer en tant que "nom" (ou "nom distingué" ou "distinguished name")
2) si tu as plusieurs domaines, et là tu utilises le howto, à l'étape 2 en reprenant ton exemple, tu entres 

DNS.1 = ndd.fr
DNS.2 = www.ndd.fr
DNS.3 = staff.ndd.fr



Concernant l'erreur du NameVirtualHost... lorsque tu utilises la forme qui ne génère pas d'erreur, tu as accès à tous les sites ? et lorsqu'il y a l'erreur ? note que pour le vhost il veut mieux utiliser une adresse ip ou simplement le port par exemple : 
<VirtualHost 192.168.0.1:443>
ou
<VirtualHost :443> s'il n'y a qu'une adresse ip associée à ton serveur

   
Répondre à Arthur Dent

13

rebel, le 9 aoû 2008 à 23:52:39

As tu msn ?

alors....

j'ai utilisé les certificats comme ceci 

SSLCertificateFile /etc/apache2/ssl/ca.pem
SSLCertificateKeyFile /etc/apache2/ssl/ca.key


et firefox me dit que le certificat n'est valable que pour le 1er ndd de la liste

pourtant j'ai bien mit ceci: 
DNS.1 = ndd.fr
DNS.2 = www.ndd.fr
DNS.3 = staff.ndd.fr

   
Répondre à rebel

15

Arthur Dent, le 10 aoû 2008 à 02:33:43
  • +1

Je viens d'aller voir et ton certificat est ok, par contre si tu souhaites que le sous-domaine www soit pris en charge, il faut le mettre dans la liste, tu peux aussi utiliser directement *.joupay.fr ce qui prendra en compte tous les sous-domaines.

Concernant cette erreur, ce n'en est pas vraiment une : la sécurité n'étant en rien compromise, c'est simplement que le certificat n'émane pas d'une autorité reconnue par le navigateur (normal : c'est toi l'autorité !) selon le cas tu as plusieurs possibilités :
cas 1 : l'accès sécurisé est réservé aux admins, dans ce cas, il suffit de dire aux admins d'accepter définitivement le certificat et tout sera ok les prochaines fois
cas 2 : l'accès sécurisé est proposé aux non admins, (ie utilisateurs lambda) et là c'est plus délicat, soit c'est un public averti, comme celui de linuxfr.org et là pas de soucis, on fait comme au cas1, si non il faut acheter un certificat.

Le problème c'est qu'un certificat multidomaine payant est plutôt cher pour un "petit" site, sur godaddy (qui est je pense le moins cher du marché) c'est $89.99 pour 1 an soit environ 60€ pour 5 domaines ou sous-domaines (je te donne le lien : https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8901 prend "standard SSL" puis "Multiple Domain UCC")

Une autre solution serait d'avoir plusieurs adresse ip associées à la machine, comme je l'ai dit plus haut, ssl n'accepte qu'un seul et unique certificat par interface, ainsi, à l'aide d'une autre adresse ip, tu pourrais prendre un certificat unique pour un seul sous domaine configurer pour pointer sur cette 2° adresse ip

exemple, www.joupay.fr et staff pointent vers l'ip A et members.joupay.fr pointe vers l'adresse ip B
tu configures les vhosts avec un certif auto signé pour les 2 premiers et un certif payant pour l'autre... mais je crois me souvenir que tu n'as qu'une seule ip sur les dedibox...

Voilà en espérant que tout ça aura aidé :) pour msn... je ne le donnerai pas ici... tu me comprendras aisément je pense...

Ne t'en fais pas si tu as des "ratés" au début pour les certificats, c'est un truc assez spécial mais rien de transcendant une fois qu'on y a plongé le nez (et tout le reste) il suffit de comprendre les mécanismes de base... idem pour la config apache, c'est rebutant au début puis tu t'y mets et là tu t'amuses...

   
Répondre à Arthur Dent

16

rebel, le 10 aoû 2008 à 02:38:42

Problème résolu merci :)

   
Répondre à rebel

23

blackiris, le 16 sep 2009 à 22:54:42

J'ai lu tout le post et je le trouve très complet mais je tiens à ajouter un petit détail pour tout ceux qui serait intéressé par le simple fait de mettre en place plusieurs clée sur un seule serveur apache cela est possible de la manière la plus simple au monde.

Donc pour ce faire vous aller dans les configuratio de votre carte réseaux et vous ajouter un alias.
donc vous avez deux adresse ce qui vous permet de faire ça.

exemple : deux adresse sur une même carte 192.168.0.4 et 192.168.0.5 admettons que l'on est un serveur sur internet accessible à partit d'une adresse publique donc pas possible vous penser de mettre une adresse en alias et pourquoi pas si vous avait accès au conf de la carte ajouter une alias et peut importe que celle-ci ne soit pas accessible de l'extérieur les première ligne que voici rendront accessible votre serveur sur l'adresse d'alias.

<VirtualHost *:80>
ServerName www.creasimple.com
Redirect / https://www.creasimple.com
##ErrorLog "F:\xamp\xampp\apache\logs\creasimple-error.log"
##CustomLog "F:\xamp\xampp\apache\logs\creasimple-access.log" combined
</VirtualHost>
.
.
.
Mettez autant de redirection que d'alias et donc que de certificat.
LA REDIRECTION N A QU UN BUT FORCER LE PASSAGE EN SSL DONC ELLE N EST PAS OBLIGATOIRE
vous pouvez en ajouter autant que vous voulez des certificats ce n'est pas limité à une seule comme l'a dit une personne sur le post mais je tiens à dire que de base il ou elle a raison mais c'est uniquement dû au norme tcp/ip qui font que pour une adresse ip on ne peut avoir qu'un seul port d'ouvert donc un seule élément (logiciel, programme) d'effetif sur celui-ci alors l'idéal c'est de contourné le probléme de la socket ip/port.

<VirtualHost 192.168.0.4:443>
ServerName cacahuete.com
DocumentRoot F:\xamp\xampp\htdocs\www\creasimple
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile F:\xamp\xampp\apache\conf\ssl.crt\pvkey.crt
SSLCertificateKeyFile F:\xamp\xampp\apache\conf\ssl.key\pvkey.key
</VirtualHost>

<VirtualHost 192.168.0.5:443>
ServerName www.creasimple.com
DocumentRoot F:\xamp\xampp\htdocs\www\creasimple
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile F:\xamp\xampp\apache\conf\ssl.crt\server.crt
SSLCertificateKeyFile F:\xamp\xampp\apache\conf\ssl.key\server.key
</VirtualHost>

voici une alternative au fait de rendre un certificat compatible avec plusieur domaine juste histoire de compléter Le POST QUE JE TIENS A DIRE QUI TRES COMPLET.

il existe une autre méthode si m'est souvenir sont bon mais il faut que je cherche si j'ai le temps je jetterai un coup d'oeil à mes notes.

VIVA LA ENTRAIDA

   
Répondre à blackiris

24

Arthur Dent, le 16 sep 2009 à 23:07:00

En effet, mais ça n'est pas forcément anodin ni possible... on peut faire ça aussi à l'aide du looppack (127.0.0.X)

Par contre, lorsque tu postes un exemple, évite de le faire avec de vraies valeurs, on sait maintenant que tu possèdes le domaine creasimple.com, via un whois, on obtiendra facilement ton vrai nom, prénom adresse complète, email et tel portable qu'on pourra aisément associer à ton pseudo ici et probablement ailleurs. On sait aussi que ton serveur est sous Windows avec ce que ça implique comme risques... et on sait que utilises le package XAMP (donc par extension probablement la version d'apache/mysql/php) ce qui n'est pas anodin non plus coté sécurité...

Un conseil : édite ton post pour changer ces valeurs (si possible), demande à ton registrar de cacher tes données persos dans le whois (et s'il te dis qu'il peut pas : change, c'est un branlo) et utilise un vrai OS pour faire du serveur !!

   
Répondre à Arthur Dent

25

blackiris, le 16 sep 2009 à 23:27:31

Une réponse intéressante.
pour commencer je te remercie.

mais dans un premier temps je tiens à préciser que l'os que j'utilise sur mon portable effectivement c'est windows mais ce n'est en rien mon serveur juste un poste avec lequel je fait mumuse.
sur mon serveur j'utilse ubuntu server j'espère que c'est convenable.

deuxième temps je devrais me méfier d'avoir mis mon adresse de siteweb ???
bien en ce qui concerne une adresse de site l'intêret principale c'est de la placardé un peu partout car cela permettra peu être un jour à ce que j'obtienne un pagerank convenable. (si je me décide un beau matin a faire un site web sur cette espace que je n'utilise pas d'ailleur bizarre pas tant que ça c'est ce rêve de gamin qui fait que j'ai pris ce nom de domaine car j'adore le mot creasimple et je me suis toujours dit qu'un jour peut être j'en ferai quelque chose de convenable si jamais dans mon minuscule cerveau nait une idée, ma mère dit que je suis quelqu'un qui se sous estime peut - être à t'elle raison)

troisième temps concernant le whois le conseil est intéressant et je vais me renseigner car effectivement je pense qu'à travers le whois on peut remonter jusqu'à moi mais bon c'est valable pour presque tout le monde qui a un nom de domaine donc je vais voir si effectivement je peux faire sauter ce genre de truc.

bon pour finir tous ce que je souhaitai c'est participer moi qui passe mon temps à lire des doc sur ce site je voulais juste contribuer.

   
Répondre à blackiris

26

Arthur Dent, le 17 sep 2009 à 02:05:56

Mais c'est très bien de contribuer ! continue ! et ce que tu as dit est très pertinent même si c'est difficilement portable : ça t'as rendu service, ça rendra probablement service à d'autres.

Je m'inquiétais simplement sur le fait que tu donnes beaucoup d'infos sur toi facilement (comme globalement pas mal de "novices") : il est important de protéger sa vie privée. Sans être parano, il convient de protéger le plus possible ton identité et les manières de te contacter, non pas par crainte qu'on vienne te faire chi***, mais par crainte d'un vol pur et simple d'identité qui est chose très aisée : à l'aide d'un social-engeneering relativement rapide on peut en apprendre beaucoup sur quelqu'un jusqu'à en deviner ses mots de passe et les réponses aux "questions secrètes" permettant les récupérer... je n'irai pas plus loin sur le sujet.
De plus, il convient, si ton site est amené à être un site "pro", qu'aucun propos ne vienne entacher ton image professionnelle... en tous cas c'est mieux :)
Enfin, pour assurer une bonne sécurité, on préconise toujours d'en dire le moins possible (cacher la version d'apache et php, ne pas répondre aux pings, désactiver l'affichage des erreurs pour tout le monde sauf toi, etc...) le but étant de donner le moins de prise possible au cas où quelqu'un aurait décidé que ton site passerait à la casserole : même s'il n'est pas possible de rendre une machine totalement invulnérable, bloquer le plus possible les attaquants (en clair les emmerder le plus possible) reste encore la meilleure défense.

Concernant ton site web : que son adresse soit placardée partout ne servira à rien (ça se saurait si non) en tous cas pas comme ça, au contraire : placée n'importe où, ton adresse perd de la valeur... et sans contenu, ton site n'aura, de toutes façon, pas un référencement normal : placarder l'adresse d'une page, ok, mais pas n'importe où et pas n'importe comment !

   
Répondre à Arthur Dent

27

blackiris, le 17 sep 2009 à 07:21:27

Toujours très intéressant mais bon en ce qui me concerne mon site pour l'instant ne risque pas d'être pro vue qu'il n'existe même pas.
Les risque niveau serveur j'en ai pas puisqu'en local je n'ai rien.
concernant la désactivation de mes messages d'erreur effectivement sur un simple portable avec lequel je fais mumuse je n'en vois pas l'intêret mais merci de t'en soucier.
En ce qui concerne mon niveau oui je suis un novice donc ouvert au critique ce qui me permettra peut-être d'évoluer un peu.
Concernant les risque d'ursupation d'identité cela reste possible bien que dans mon cas j'habite plus à l'endroit du whois, je n'ai pas le même numéro de téléphone mais bon comme je l'ai dit cette remarque et pertinente et je compte voir si je peux pas faire sauter ce genre de truc.
Pour finir vue la masse de cv qu'on peut trouver sur internet je crois que eu aussi on du soucie à se faire niveau ursupation d'identité c'est difficile de juger de ce que l'on peut publier ou pas, par exemple sur les pages blanche on trouve autant d'information sur n'importe qui que sur un whois donc je pense que on est nombreux à avoir du soucie à se faire.
Pour finir concernant le pagerank j'aimerai avoir tes lumières sur tout ce que j'ai lu il disait que le référencement d'un site dépend des annuaires dans lequel on le référencé que c'était à ce niveau qu'il fallait faire attention à la rubrique et à la description que l'on en donné et que les liens sur internet en améliorer le pagerank dans mon cas vue que le site n'existe pas et qu'il n'existera probablement jamais il est difficile d'imaginer que j'aille le référencer mais bon le placarder un peu partout je ne vois pas en quoi c'est mal surtout quand en plus on en profite pour aider.
Mais bon en ce qui me concerne je ne compte plus revenir sur ce Post car celui-ci concerne le virtual hosting et non pas le pagerank si tu souhaite me répondre concernant le pagerank et son fonctionnement histoire de faire grandir mon petit savoir je t'en remercie d'avance envoie moi la réponse par mail.
Avoir de l'humilité nous permet d'apprendre de tout ce que l'on rencontre et dans mon cas j'en ai des choses à apprendre :)
il serait dommage de souiller un Post aussi intéressant par nos discussion périphérique lié à d'autre sujet.

   
Répondre à blackiris

28

blackiris, le 17 sep 2009 à 07:53:44

J'ai oublié de mettre mon adresse mail de contact tien : aaatomos5@gmail.com

   
Répondre à blackiris

29

Arthur Dent, le 17 sep 2009 à 09:19:20

Très heureux de savoir que tout est "safe and secure" pour toi.
Pour en apprendre plus en SEO : http://www.webrankinfo.com la référence.

   
Répondre à Arthur Dent

30

 blackiris, le 17 sep 2009 à 23:03:23

J'avais dit que je lirai mes notes et que je mettrai la deuxième solution c'est chose faite donc en faite je dois d'abord rectifier le fait que pour le raccourcie dans mes note j'ai écrit que cela ne fonctionne pas en faite la solution c'est de tout faire dans la première redirection et d'ajouter plusieur possibilité de redirection
exemple :
redirect /domain1.php /domain1/repertoire
redirect /domain2.php /domain2/repertoire
mais bon si pour vous tout fonctionne alors n'en faite rien.

La deuxième solution c'est de faire plusieur port pour une même ip mais l'inconvénient c'est lors de l'affichage à la redirection cela donne https://domain:4443/rep ce qui est laid à voir mais cela fonctionne.
dans le fichier httpd-ssl.conf vous ajouter un listen 4443 pour l'exemple ou ce que vous voulais mais s'assurer que le port est libre.(autant de listen que de certificat et le reste ce fait dans le virtualhost au niveau de la redirection Redirect /domain1.php https://domain:4443/rep/) contrairement à la première méthode celle ci peut fonctionner sur internet tandis que l'autre celle des alias n'est probable que dans un lan mais je peux me tromper.
voilà j'ai mis la deuxième méthode j'espère que cela profitera au petite tête vide comme moi sans prétention qui essaye de faire grandir leur savoir.
chaoooo

   
Répondre à blackiris
Posez votre question Répondre
Ils ont besoin de votre aide