Apache: directive SSLCARevocationFile
Résolu/Fermé
lsda26
-
Modifié par mamiemando le 28/09/2013 à 12:20
mamiemando Messages postés 33642 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 25 avril 2025 - 3 oct. 2013 à 20:20
mamiemando Messages postés 33642 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 25 avril 2025 - 3 oct. 2013 à 20:20
Bonjour,
Je suis en train de finaliser l'installation d'une PKI sur du debian et une question se pose.
Pour la directive SSLCARevocationFile, peut-on mettre un chemin vers la liste de revocation du type: http//monserveurapache/crl.pem à la place d'un chemin local?
Car je compte publier mes crl en interne sur un serveur web http. Donc il faudrait que mes autres serveurs récupèrent les listes de révocation via ce serveur.
Merci
Je suis en train de finaliser l'installation d'une PKI sur du debian et une question se pose.
Pour la directive SSLCARevocationFile, peut-on mettre un chemin vers la liste de revocation du type: http//monserveurapache/crl.pem à la place d'un chemin local?
Car je compte publier mes crl en interne sur un serveur web http. Donc il faudrait que mes autres serveurs récupèrent les listes de révocation via ce serveur.
Merci
A voir également:
- Sslcarevocationfile
- Apache open office gratuit - Télécharger - Suite bureautique
- Apache tomcat/7.0.69 - Forum Programmation
- Laragon apache - Télécharger - Divers Web & Internet
- Apache iso - Forum Linux / Unix
- Apache - Forum Réseau
9 réponses
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
28 sept. 2013 à 12:19
28 sept. 2013 à 12:19
Ça m'étonnerait que ça marche, mais au pire, test et tu verras bien dans les logs d'apache.
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcarevocationfile
De toute façon conceptuellement je trouve ça bizarre d'exposer ce genre de fichiers via apache. Pourquoi ne pas simplement les copier sur les machines qui en ont besoin ?
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcarevocationfile
De toute façon conceptuellement je trouve ça bizarre d'exposer ce genre de fichiers via apache. Pourquoi ne pas simplement les copier sur les machines qui en ont besoin ?
J'ai effectivement testé mais apache refuse de se relancer avec un lien http.
Diffuser une liste de revocation par http se fait souvent par exemple pour les clients qui se connectent à des serveurs en ssl. Les navigateurs vont lire une liste de révocation sur un site web donné afin de pouvoir vérifier que le certificat du site n'est pas révoqué lui même. Autant pour des client celà fonctionne bien. Autant pour les serveurs avec apache, cela aurait été simple qu'il puisse lire la crl à partir d'un site, comme ça on à 1 seul point de diffusion plutôt que de la copier sur tout les serveur apaches.
Diffuser une liste de revocation par http se fait souvent par exemple pour les clients qui se connectent à des serveurs en ssl. Les navigateurs vont lire une liste de révocation sur un site web donné afin de pouvoir vérifier que le certificat du site n'est pas révoqué lui même. Autant pour des client celà fonctionne bien. Autant pour les serveurs avec apache, cela aurait été simple qu'il puisse lire la crl à partir d'un site, comme ça on à 1 seul point de diffusion plutôt que de la copier sur tout les serveur apaches.
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
30 sept. 2013 à 09:42
30 sept. 2013 à 09:42
Le plus simple à ce moment là c'est de mettre ce fichier en partage via un serveur de fichiers (nfs ou samba) et de le monter par exemple dans /usr/local/apache2/conf pour suivre l'arborescence décrite ici :
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcarevocationfile
Ensuite tu pourras faire référence à ce fichier comme s'il était réellement sur ta machine. L'inconvénient principal de l'approche est que ça force à installer des clients nfs sur chaque machine et configurer les pare-feus des différentes machines pour pouvoir y accéder.
Autre possibilité, il faudrait chercher sur google comment les gens font quand ils sont confrontés à ta situation.
Bonne chance
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslcarevocationfile
Ensuite tu pourras faire référence à ce fichier comme s'il était réellement sur ta machine. L'inconvénient principal de l'approche est que ça force à installer des clients nfs sur chaque machine et configurer les pare-feus des différentes machines pour pouvoir y accéder.
Autre possibilité, il faudrait chercher sur google comment les gens font quand ils sont confrontés à ta situation.
Bonne chance
Merci pour l'info.
Pour ma part j'ai contourné le problème grâce à mon script de gestion de la CA. Je copie donc par scp la crl sur tous mes serveur web à chaque révocation de certificat.
D'autre utilisent apparemment wget+cron
Pour ma part j'ai contourné le problème grâce à mon script de gestion de la CA. Je copie donc par scp la crl sur tous mes serveur web à chaque révocation de certificat.
D'autre utilisent apparemment wget+cron
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
30 sept. 2013 à 20:15
30 sept. 2013 à 20:15
Oui ça revient à ce que je te disais de faire dans mon premier message ("Pourquoi ne pas simplement les copier sur les machines qui en ont besoin ?"), peu importe finalement que tu les rapatries en local via http ou scp.
Après faire un script ou un cron présuppose que tu vas avoir un "délai" avant que les nouvelles listes soient propagées donc si elles n'évoluent pas trop souvent, c'est une solution envisageable (ie attendre la prochaine fois que cron déclenchera le script).
La solution "ultime" c'est un serveur de fichiers (nfs ou samba par exemple, mais on pourrait aussi imaginer sshfs qui est sans doute plus pratique dans ton cas à mettre en place). Cette approche permet à chaque machine d'examiner à tout instant le fichier partagé par le serveur, et du coup tu n'as plus ce "délai".
http://doc.ubuntu-fr.org/sshfs
Quelle que soit la solution retenue, il faut visiblement qu'apache face référence à un fichier local à la machine.
Bonne chance
Après faire un script ou un cron présuppose que tu vas avoir un "délai" avant que les nouvelles listes soient propagées donc si elles n'évoluent pas trop souvent, c'est une solution envisageable (ie attendre la prochaine fois que cron déclenchera le script).
La solution "ultime" c'est un serveur de fichiers (nfs ou samba par exemple, mais on pourrait aussi imaginer sshfs qui est sans doute plus pratique dans ton cas à mettre en place). Cette approche permet à chaque machine d'examiner à tout instant le fichier partagé par le serveur, et du coup tu n'as plus ce "délai".
http://doc.ubuntu-fr.org/sshfs
Quelle que soit la solution retenue, il faut visiblement qu'apache face référence à un fichier local à la machine.
Bonne chance
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
1 oct. 2013 à 19:38
1 oct. 2013 à 19:38
Je t'en prie. Du coup, est-ce que ton problème est résolu ?
oui mais j'ai un soucis avec mes identifiant je peut pas marquerr comme resolu mes message que je crée.
mamiemando
Messages postés
33642
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
25 avril 2025
7 844
3 oct. 2013 à 20:20
3 oct. 2013 à 20:20
Oui il faut un compte CCM. Je m'en occupe.
