SSL sos

Résolu
wiico -  
mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

je me permet de poster sur un forum car je recherche depuis 5 jours en vain.

environnement : Apache/2.2.9 (Debian) DAV/2 PHP/5.2.6-1+lenny13 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.7a configured

j'ai acheter un certificat rapidsll que je doit installer sur un serveur WEB.

mon problème est que que la CA n'est pas reconnu.

VHOST :

###################### SSL #######################
SSLEngine on
SSLVerifyClient require
SSLProtocol +SSLv3 +TLSv1
SSLCipherSuite +ALL

SSLCertificateFile /etc/apache2/ssl/certificate.crt
SSLCertificateKeyFile /etc/apache2/ssl/private.key
#SSLCACertificateFile /etc/apache2/ssl/intermediate.crt
SSLcertificateChainFile /etc/apache2/ssl/intermediate.crt

################### SSL END #########################

log de /var/log/apache2/error.log

[Sat Nov 19 13:35:14 2011] [warn] Init: Oops, you want to request client authentication, but no CAs are known for verification!? [Hint: SSLCACertificate*]

Bien entendu j'ai testé les 2 chaines :

SSLcertificateChainFile /etc/apache2/ssl/intermediate.crt
SSLCACertificateFile /etc/apache2/ssl/intermediate.crt

j'ai colé un petit chmod 400 sur mes certifs et ils appartiennent a Mr root.

Je suis au bord du gouffre...

1 réponse

  1. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 942
     
    Voici la démarche que j'utilise quand on génère soi-même son certificat ssl :

    aptitude update
    aptitude install ssl-cert openssl
    make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/localhost.pem


    On active le module apache ssl :

    a2enmod ssl


    On vérifie que le fichier /etc/apache2.ports.conf est correct :

    NameVirtualHost *:80
    Listen 80
    <IfModule mod_ssl.c>
      Listen 443
    </IfModule>
    <IfModule mod_gnutls.c>
      Listen 443
    </IfModule>


    On vérifie que ton virtual host est bien configuré (par exemple on modifie le /etc/apache2/sites.available/ssl fourni par debian) :

    <VirtualHost *:443>
      ServerAdmin webmaster@localhost
      SSLEngine On
      SSLCertificateFile /etc/ssl/private/localhost.pem
      ErrorLog ${APACHE_LOG_DIR}/error.log
      LogLevel warn
      CustomLog ${APACHE_LOG_DIR}/access.log combined
    </VirtualHost>


    ... et on l'active :

    a2ensite ssl


    On relance apache et vérifie les logs et s'il écoute sur le port 443 :

    service apache2 restart
    netstat -ntlp


    Il ne reste plus qu'à se connecter : https://localhost
    J'espère que ça t'aidera !

    Bonne chance
    0
    1. wiico
       
      Bonjour,
      j'ai réussi avant de lire ta réponse.

      effectivement j'ai du ajouter le module gnutls et ça a marché tous de suite...

      apt-get install libapache2-mod-gnutls
      a2enmod gnutls
      /etc/init.d/apache2 restart

      et zou ...

      5 jours pour ça je suis fou ... !!

      je comprend pas trop pourquoi ...

      En tous cas merci bcp !!!!!!
      0
    2. mamiemando Messages postés 33228 Date d'inscription   Statut Modérateur Dernière intervention   7 942
       
      En fait il faut que tu aies soit le module tls soit le module ssk qui soit actif pour que ton serveur apache ait une chance d'écouter sur le port 443. A priori seul l'un des deux modules doit être activé (sinon apache ne sera pas si c'est du trafic ssl ou tls).

      Juste une petite remarque, la syntaxe "/etc/init.d/apache2 restart" est toujours juste, mais de nos jours on évolue vers la syntaxe "service apache2 restart" (tu verras par exemple sous ubuntu un warning si tu utilises l'ancienne syntaxe).

      Bonne continuation !
      0