Forum Linux.redhat ssl et apache 2

• # Logs?

  Posté par lom (site web personnel) le 20 avril 2005 à 17:23. Évalué à 4.

  

  Quelle erreur est affichée?
  Tu dois voir ça error_log, ou ssl_error_log.
  Ca aiderait à te donner une solution.
  
  Ou alors donne ton ssl.conf (en virant tous les commentaires que ça ne prenne pas 3 écrans).

  • [^] # Re: Logs?

    Posté par philou83 le 21 avril 2005 à 09:16. Évalué à 1.

    

    Merci pour le conseil, voici ce que je trouve d'interressant dans mes logs :
    
    [Wed Apr 20 15:51:17 2005] [warn] child process 31821 still did not exit, sending a SIGTERM
    [Wed Apr 20 15:51:17 2005] [warn] child process 31836 still did not exit, sending a SIGTERM
    [Wed Apr 20 15:51:18 2005] [notice] caught SIGTERM, shutting down
    [Wed Apr 20 15:52:13 2005] [notice] LDAP: Built with OpenLDAP LDAP SDK
    [Wed Apr 20 15:52:14 2005] [notice] LDAP: SSL support unavailable
    [Wed Apr 20 15:52:14 2005] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
    [Wed Apr 20 15:52:15 2005] [notice] Digest: generating secret for digest authentication ...
    [Wed Apr 20 15:52:15 2005] [notice] Digest: done
    [Wed Apr 20 15:52:15 2005] [notice] LDAP: Built with OpenLDAP LDAP SDK
    [Wed Apr 20 15:52:15 2005] [notice] LDAP: SSL support unavailable
    [Wed Apr 20 15:52:15 2005] [notice] mod_python: Creating 32 session mutexes based on 256 max processes and 0 max threads.
    [Wed Apr 20 15:52:16 2005] [notice] Apache/2.0.49 (Fedora) configured -- resuming normal operations
    

    • [^] # Re: Logs?

      Posté par lom (site web personnel) le 21 avril 2005 à 09:25. Évalué à 2.

      

      Ca te vient de quel fichier? La seule chose qu'on apprend ici c'est que SSL n'est pas accessible pour ldap...
      
      ssl_error_log te donnes quoi?

      • [^] # Re: Logs?

        Posté par philou83 le 21 avril 2005 à 09:28. Évalué à 1.

        

        c'etait le error_log apache.
        le ssl_error_log m'indique :
        [warn] RSA server certificate CommonName (CN) `localhost.localdomain' does NOT match server name!?
        
        Il semble que le certificat a été mal généré si je comprend bien ?

        • [^] # Re: Logs?

          Posté par lom (site web personnel) le 21 avril 2005 à 12:03. Évalué à 3.

          

          Ce n'est qu'un warn, ce n'est pas grave pour le fonctionnement. Il te faudra effectivement avoir un autre certificat pour être propre, mais ce n'est pas genant.
          
          En fait, si tu arrives à tout configurer avec ce certificat, quand tu te connecteras via ton navigateur, tu auras un message du style: "Attention, vous essayez de vous connecter à philou83.org, alors que le certificat indique que le serveur est localhost.localdomain. Voulez vous continuer?" Et tu pourras dire oui sans problème. Après, il faudra que tu te crées un certificat qui contient effectivement philou83.org pour ne plus vaoir ce message.
          
          Sinon, tu dis que tu as une erreur en https. C'est quoi le message que tu as?
          Es-tu sur que ssl.conf est bien inclus?

          • [^] # Re: Logs?

            Posté par philou83 le 21 avril 2005 à 12:07. Évalué à 1.

            

            Comme c'est pas moi qui avait commencé l'implémentation du ssl sur ce serveur, j'ai préférer recréer de nouvelles clés.
            Mon problème maintenant est que apache ne se lance plus en mode ssl. J'ai cette erreur :
            [error] SSL Library Error: 185073780 error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

            • [^] # Re: Logs?

              Posté par lom (site web personnel) le 21 avril 2005 à 13:38. Évalué à 2.

              

              Je vois deux possibilités:
              - tu as mal donné le mot de passe de la clé privé (directive SSLPassPhraseDialog) mais je ne pense pas que ça soit ça.
              - la clé ne correspond pas au certif. Tu peux le vérifier par openssl:
              
              1) modulo identiques?
              openssl x509 -noout -modulus -in server.crt | openssl md5
              openssl rsa -noout -modulus -in server.key | openssl md5
              Les 2 md5 doivent être identiques (on peut le faire à la main comme pour l'exposant, mais c'est gros, donc plus pratique de passer par md5).
              
              2) exposants identiques?
              openssl x509 -noout -text -in server.crt
              openssl rsa -noout -text -in server.key
              et comparer les champs "public exponent" (en général 65537)

        • [^] # Re: Logs?

          Posté par Nico le 21 avril 2005 à 12:06. Évalué à 2.

          

          Tout à fait ! Il faut que le CN du certificat du serveur soit le même que celui renseigné dans ta configuration Apache. Si ce n'est pas le cas, il pensera qu'un perfide pirate a substitué ton certificat pour un autre vérolé.
          
          Regénère un certificat avec un CN correct et recommence pour voir...

          • [^] # Re: Logs?

            Posté par philou83 le 21 avril 2005 à 14:20. Évalué à 1.

            

            Ok maintenant j'ai bien mon apache lancé en mod ssl. En fait j'avais fait une erreur dans le path du .crt après avoir regénéré mon certificat.
            J'avance mais c'est pas encore fini mon site ne s'affiche toujours pas en https, alors que le VH de mon site figure bien dans le ssl.conf.
            Je suis en fait dans la même configuration que dans mon premier mail, à ceci prêt que je n'ai plus d'erreur dans mes logs ssl.

            • [^] # Re: Logs?

              Posté par philou83 le 21 avril 2005 à 15:54. Évalué à 1.

              

              ci-joint mon ssl.conf débarrassé des commentaires :
              
              <IfDefine SSL>
              
              LoadModule ssl_module modules/mod_ssl.so
              
              Listen 443
              
              AddType application/x-x509-ca-cert .crt
              AddType application/x-pkcs7-crl .crl
              
              SSLPassPhraseDialog builtin
              
              SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
              SSLSessionCacheTimeout 300
              
              SSLMutex default
              
              SSLRandomSeed startup file:/dev/urandom 256
              SSLRandomSeed connect builtin
              SSLCryptoDevice builtin
              
              <VirtualHost roger.rabbit.biz:443>
              
              DocumentRoot /home/html/g_intranet/
              ServerName roger.rabbit.biz
              DirectoryIndex index.php index.htm index.html index.php3 index.cgi main.htm main.html
              
              ErrorLog logs/ssl_error_log
              TransferLog logs/ssl_access_log
              LogLevel warn
              
              SSLEngine on
              
              SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
              
              SSLCertificateFile /etc/httpd/conf/ssl.crt/roger.rabbit.biz.crt
              SSLCertificateKeyFile /etc/httpd/conf/ssl.key/roger.rabbit.biz.key
              <Files ~ "\.(cgi|shtml|phtml|php3?)$">
              SSLOptions +StdEnvVars
              
              <Directory "/var/www/cgi-bin">
              SSLOptions +StdEnvVars
              
              
              SetEnvIf User-Agent ".*MSIE.*" \
              nokeepalive ssl-unclean-shutdown \
              downgrade-1.0 force-response-1.0
              
              CustomLog logs/ssl_request_log \
              "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
              
              </VirtualHost>
              

              • [^] # Re: Logs?

                Posté par lom (site web personnel) le 22 avril 2005 à 10:42. Évalué à 2.

                

                En supposant que les et n'ont pas été affichés mais son bien présents:
                
                Est-ce qu'il te demande bien le mdp de ta clé privée au démarrage?
                
                Pas de problème de droit entre l'uid/gid d'apache, ceux de ta clé et certificat et ceux de ton document root?
                
                Si tu n'as pas d'autres erreur dans ton log, je ne vois pas quoi rajouter de plus. Et au fait, c'est quoi l'erreur que tu as quand tu te connectes en https?
                
                Sinon, question bête: tu n'as pas de firewall qui pourrait interdire l'accès au port 443?

                • [^] # Re: Logs?

                  Posté par philou83 le 22 avril 2005 à 10:49. Évalué à 1.

                  

                  < Est-ce qu'il te demande bien le mdp de ta clé privée au démarrage?
                  oui
                  
                  <Et au fait, c'est quoi l'erreur que tu as quand tu te connectes en https?
                  impossible d'afficher la page
                  
                  Pour le reste je vais voir tout de suite
                  
                  Merci

                • [^] # Re: Logs?

                  Posté par philou83 le 22 avril 2005 à 13:54. Évalué à 1.

                  

                  Une nouvelle info peut-être interessante, le site fonctionne en lançant un navigateur en local :
                  lynx https://roger.rabbit.biz(...)
                  
                  le port 443 est bien ouvert et on a pour l'instant rien trouvé d'autre au niveau réseau.

                  • [^] # Re: Logs?

                    Posté par lom (site web personnel) le 22 avril 2005 à 15:08. Évalué à 2.

                    

                    Ah, intéressant!
                    
                    Regarde dans les certificats déjà enregistrés dans ton navigateur si tu n'as pas un certificat (site web ou autorité, pour FF) qui aurait déjà le nom du certificat qui est utilisé par apache. Et si c'est le cas, vire le tout de suite et sans regret, puis redémarre ton navigateur.
                    
                    Raison: si tu as enregistré le certificat d'une autorité, et que sans changer de nom son certificat est modifié, tu as une erreur incompréhensible, comme ce que tu as actuellement.
                    
                    Je croise les doigts, je touche du bois et de la peau de singe, mais je le sens bien, sur ce coup là.

                    • [^] # Re: Logs?

                      Posté par philou83 le 25 avril 2005 à 09:25. Évalué à 1.

                      

                      Bonjour,
                      J'ai regardé dans "autorité intermédiaires" et "autorités principales de confiance" et je n'ai rien trouvé qui corresponde au nom de mon cetificat. Mais je ne comprend pas bien ce que tu entends par (siter web, autorité pour FF)
                      Merci

                      • [^] # Re: Logs?

                        Posté par lom (site web personnel) le 25 avril 2005 à 13:29. Évalué à 2.

                        

                        je pense que tu as vérifié ce dont je parlais.
                        
                        Ce que je voualis dire, c'est que dans le gestionnaire de certificat de FF, tu as entre autres 2 anglets, un qui s'appelle "site web" et l'autre "autorité de confiance". C'est dans la liste de certificat de ces 2 onglets que je te proposais de voir si tu n'avais pas un certificat qui avait le nom du serveur auquel tu te connectes, avec de fausse informations. Vu l'erreur que tu as, et vu le fait que ça marche avec lynx, je suis à peu près sur que ça doit être ça.

                        • [^] # Re: Logs?

                          Posté par philou83 le 26 avril 2005 à 09:32. Évalué à 1.

                          

                          ok c'est ce que j'ai fait mais j'ai toujours le même problème.
                          J'ai refait mes certificats mais toujours pareil.
                          Par contre je n'ai pas fait un certificat authentifié. J'avais procédé comme ça sur un serveur apache 1.3 sans problème.

                          • [^] # Re: Logs?

                            Posté par lom (site web personnel) le 26 avril 2005 à 15:02. Évalué à 2.

                            

                            Je ne sais pas si je me suis bien exprimé.
                            Dans le cas que j'explique, ce n'est pas le fait de refaire des certificats qui va régler le pb, c'est le fait que FF ait encore des traces d'un ancien certificat qui va causer l'erreur.

                            • [^] # Re: Logs?

                              Posté par philou83 le 26 avril 2005 à 15:04. Évalué à 1.

                              

                              le probleme est le même quelqu soit le navigateur FF IE ou netscape

                              • [^] # Re: Logs?

                                Posté par lom (site web personnel) le 26 avril 2005 à 16:02. Évalué à 2.

                                

                                Dans ce cas, si ça marche en local avec lynx, et que ça ne marche pas à distance, je ne pense pas que ça soit un problème du à apache. Il faut chercher au niveau réseau, système ou vaudou, à mon avis.

                                • [^] # Re: Logs?

                                  Posté par philou83 le 26 avril 2005 à 16:37. Évalué à 1.

                                  

                                  y'a le collègue du réseau qui travaille dessus et qui s'arrache les cheveux sur ce problème.
                                  On va aller égorger quelques poulets en salle blanche pour voir ...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.