OVH Community, your new community space.

Installation de clef ssh apache2 (si possible sur le sous domaine)


janus57
24/05/2015, 18h12
Bonjour,

perso mon VHost est basé sur vos donné (certificats SSL) + le VHost que j'ai en production depuis plusieurs mois, donc vous avez suremen,t foiré vos certificat SSL, mis au mauvais endroit (perso ils sont dans /etc/apache2/ssl/).

De mémoire j’avais utilisé les 2 tutos suivant :
- https://technique.arscenic.org/ssl-s...-un-certificat
- https://technique.arscenic.org/lamp-...gurer-ssl-pour

Puis après pour la "bonne" config SSL j'ai utilisé le générateur de Mozilla couplé à des tests ici : https://www.ssllabs.com/ssltest/

Après pour le moment je suis encore en Wheezy, donc je sais pas si le mod_ssl a changé beaucoup entre apache 2.2 et 2.4

Cordialement, janus57

blutux
24/05/2015, 13h01
En créeant un vhost hypersimplifié en https ça fonctionne \o/

Code:

        
		DocumentRoot /home/b-allard-name/www/cloud/
                ServerName www.cloud.b-allard.name
                ServerAlias cloud.b-allard.name
	
		
        		# Encore des options : multiviews peut être pratique
        		# Si on essaye d'accédera site.com/index
        		# Et que index n'existe pas, le serveur va rechercher index.*
        		# Autrement dit : index.php, index.html etc...
        		Options FollowSymLinks MultiViews
        		# Autorise les htaccess
        		AllowOverride All
        		Order allow,deny
        		allow from all
    		
SSLCertificateFile	/etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key		
        
Reste plus qu'à remodifier pour mettre les certificats de startssl, j'y reviendrais plus tard

Merci janus57, je vais rester en mod autosigné par défaut cette semaine car je n'ai pas trop le temps de regarder à ça, j'essayerais d'implémenter les certificats ssl de startssl la semaine prochaine

blutux
24/05/2015, 12h47
Bon je recommence de zéro pour être sur que je n'ai rien foiré dans ma configuration et être sur que j'ai pas un problème au niveau de mes certificats ...

Pour le default.ssl de apache j'ai remis les certificats par defaut:
Code:
SSLCertificateFile	/etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
ET j'ai remis juste le vhost du sous-domaine en http.

-> J'ai accès en http normalement partout,
-> j'ai accès partout en https, par contre je tombe sur le site par default d'apache :s

blutux
24/05/2015, 11h46
Comme je n'arrivais plus à accerder à mon domaine, j'ai tout remis comme avant.
Maintenant je laisse l'état avec le vhost que tu me propose.

Résultat des commandes :
apache2ctl configtest
Code:
Syntax OK
a2enmod ssl
Code:
Considering dependency setenvif for ssl:
Module setenvif already enabled
Considering dependency mime for ssl:
Module mime already enabled
Considering dependency socache_shmcb for ssl:
Module socache_shmcb already enabled
Module ssl already enabled
Je ne sais plus accéder à mon domaine :s (je ne critique pas ton vhost, car je suis venu sur le forum justement parce que j'avais le même problème lorsque j'essaie d'activer le ssl, c'est la première fois que j'essaie de mettre un site avec ssl, j'ai donc peut-être manqué ou mal fait une étape importante :s)

Edit :
apparemment c'est tout mon apache qui flanche quand j'essaie d'activer ssl :s

janus57
24/05/2015, 11h23
Bonjour,

après avoir appliqué le vhost donné un petit test à coup de :
Code:
apache2ctl configtest
Sinon perso j'utilise ce VHost sans aucun problème et pour le mod SSL un simple
Code:
a2enmod ssl
aurait suffit pour vérifier

EDIT :
actuellement cela "fonctionne" mais y a un problème de config, pas de certificat SSL :
janus57@janus57:~$ openssl s_client -connect cloud.b-allard.name:443
CONNECTED(00000003)
139720080529056:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:795:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 305 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
Cordialement, janus57

blutux
24/05/2015, 01h45
Bonjour Janus57,

concernant le module ssl :
Code:
apache2ctl -t -D DUMP_MODULES | grep ssl
 ssl_module (shared)
en appliquant le vhost que tu m'as donné, tout mon domaine devient inaccessible :s

janus57
23/05/2015, 20h44
Bonjour,

Et avec ce vhost :
Code:

	DocumentRoot /home/b-allard-name/www/cloud/
	ServerName www.cloud.b-allard.be
	ServerAlias cloud.b-allard.be cloud.b-allard.name www.cloud.b-allard.name
		
			Options FollowSymLinks MultiViews
			# Autorise les htaccess
			AllowOverride All
			Order allow,deny
			allow from all
		


	
		DocumentRoot /home/b-allard-name/www/cloud/
		ServerName www.cloud.b-allard.be
		ServerAlias cloud.b-allard.be cloud.b-allard.name www.cloud.b-allard.name
			
				Options FollowSymLinks MultiViews
				# Autorise les htaccess
				AllowOverride All
				Order allow,deny
				allow from all
			
			
		SSLEngine	on
		#SSL hardening (based on : https://mozilla.github.io/server-side-tls/ssl-config-generator/ modern setting)
		SSLProtocol	all -SSLv3 -TLSv1
		SSLCipherSuite	ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
		SSLHonorCipherOrder	on
		SSLCompression	off
		# OCSP Stapling, only in httpd 2.3.3 and later
		SSLUseStapling          on
		SSLStaplingResponderTimeout 5
		SSLStaplingReturnResponderErrors off
		#Certificate
		SSLCertificateFile /etc/ssl/startsslCertificates/ssl.crt
		SSLCertificateKeyFile /etc/ssl/startsslCertificates/ssl.key
		SSLCertificateChainFile /etc/ssl/startsslCertificates/sub.class1.server.ca.pem
	
PS : Question bonus : Est-ce une bonne idée de séparé le domaine et le sous-domaine dans des fichiers différents ?
perso je dirais que oui

mod_ssl a bien été activé ?

Cordialement, janus57

blutux
23/05/2015, 20h19
Bonjour à tous,

Je suis sous debian 8, j'ai un nom de domaine installer dessus (bind est correctement configurer).

Pour Apache j'ai un site (b-allard.name) et un sous domaine (cloud.b-allard.name). Sans ssl les deux fonctionnent correctement.

J'essaie de mettre les clefs ssl sur le sous-domaine, je n'arrive plus a acceder au sous-domaine

J'ai activer le module ssl.

Voici le fichier de configuration du site avant et après configuration

Avant :

Code:

		DocumentRoot /home/b-allard-name/www/cloud/
        	ServerName www.cloud.b-allard.be
        	ServerAlias cloud.b-allard.name

        Options FollowSymLinks MultiViews
        # Autorise les htaccess
        AllowOverride All
        Order allow,deny
        allow from all
    

Après installation ssl :

Code:

		DocumentRoot /home/b-allard-name/www/cloud/
        	ServerName www.cloud.b-allard.be
        	ServerAlias cloud.b-allard.name

        Options FollowSymLinks MultiViews
        # Autorise les htaccess
        AllowOverride All
        Order allow,deny
        allow from all
    



		DocumentRoot /home/b-allard-name/www/cloud/
        	ServerName www.cloud.b-allard.be
        	ServerAlias cloud.b-allard.name

        Options FollowSymLinks MultiViews
        # Autorise les htaccess
        AllowOverride All
        Order allow,deny
        allow from all
    
SSLEngine on
                SSLProtocol all -SSLv2
                SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

                SSLCertificateFile /etc/ssl/startsslCertificates/ssl.crt
                SSLCertificateKeyFile /etc/ssl/startsslCertificates/ssl.key
                SSLCertificateChainFile /etc/ssl/startsslCertificates/sub.class1.server.ca.pem
Est-ce une la bonne façon de faire ?

Pouvez-vous m'aider ?

PS : Question bonus : Est-ce une bonne idée de séparé le domaine et le sous-domaine dans des fichiers différents ?