|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
|
|
Packit |
90a5c9 |
<meta content="text/html; charset=UTF-8" http-equiv="Content-Type" />
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|
|
Packit |
90a5c9 |
This file is generated from xml source: DO NOT EDIT
|
|
Packit |
90a5c9 |
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
|
|
Packit |
90a5c9 |
-->
|
|
Packit |
90a5c9 |
<title>Chiffrement SSL/TLS fort: foire aux questions - Serveur HTTP Apache Version 2.4</title>
|
|
Packit |
90a5c9 |
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
|
|
Packit |
90a5c9 |
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
|
|
Packit |
90a5c9 |
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
|
|
Packit |
90a5c9 |
<script src="../style/scripts/prettify.min.js" type="text/javascript">
|
|
Packit |
90a5c9 |
</script>
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
|
|
Packit |
90a5c9 |
<body id="manual-page">
|
|
Packit |
90a5c9 |
Modules | Directives | FAQ | Glossaire | Plan du site
|
|
Packit |
90a5c9 |
Serveur HTTP Apache Version 2.4
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Apache > Serveur HTTP > Documentation > Version 2.4 > SSL/TLSChiffrement SSL/TLS fort: foire aux questions
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Langues Disponibles: en |
|
|
Packit |
90a5c9 |
fr
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Le sage n'apporte pas de bonnes réponses, il pose les bonnes questions
|
|
Packit |
90a5c9 |
-- Claude Levi-Strauss
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Configuration
|
|
Packit |
90a5c9 |
Certificats
|
|
Packit |
90a5c9 |
Le protocole SSL
|
|
Packit |
90a5c9 |
Support de mod_ssl
|
|
Packit |
90a5c9 |
Voir aussi
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pourquoi le démarrage d'Apache provoque-t-il des
|
|
Packit |
90a5c9 |
erreurs de permission en rapport avec SSLMutex ?
|
|
Packit |
90a5c9 |
Pourquoi mod_ssl s'arrête-t-il avec l'erreur
|
|
Packit |
90a5c9 |
"Failed to generate temporary 512 bit RSA private key" au démarrage
|
|
Packit |
90a5c9 |
d'Apache ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
erreurs de permission en rapport avec SSLMutex ?
|
|
Packit |
90a5c9 |
Des erreurs telles que ``mod_ssl: Child could not open
|
|
Packit |
90a5c9 |
SSLMutex lockfile /opt/apache/logs/ssl_mutex.18332 (avec l'erreur
|
|
Packit |
90a5c9 |
système qui suit) [...] System: Permission denied (errno: 13)''
|
|
Packit |
90a5c9 |
sont souvent provoquées par des permissions trop restrictives sur les
|
|
Packit |
90a5c9 |
répertoires parents. Assurez-vous que tous les répertoires
|
|
Packit |
90a5c9 |
parents (ici /opt , /opt/apache et
|
|
Packit |
90a5c9 |
/opt/apache/logs ) ont le bit x positionné au moins pour
|
|
Packit |
90a5c9 |
l'UID sous lequel les processus enfants d'Apache s'exécutent (voir la
|
|
Packit |
90a5c9 |
directive User ).
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
"Failed to generate temporary 512 bit RSA private key" au démarrage
|
|
Packit |
90a5c9 |
d'Apache ?
|
|
Packit |
90a5c9 |
Pour fonctionner correctement, les logiciels de cryptographie ont
|
|
Packit |
90a5c9 |
besoin d'une source de données aléatoires. De nombreux systèmes
|
|
Packit |
90a5c9 |
d'exploitation libres proposent un "périphérique source d'entropie"
|
|
Packit |
90a5c9 |
qui fournit ce service (il se nomme en général
|
|
Packit |
90a5c9 |
/dev/random ). Sur d'autres systèmes, les applications
|
|
Packit |
90a5c9 |
doivent amorcer manuellement
|
|
Packit |
90a5c9 |
le Générateur de Nombres Pseudo-Aléatoires d'OpenSSL
|
|
Packit |
90a5c9 |
(Pseudo Random Number Generator -PRNG) à l'aide de données appropriées
|
|
Packit |
90a5c9 |
avant de générer des clés ou d'effectuer un chiffrement à clé
|
|
Packit |
90a5c9 |
publique. Depuis la version 0.9.5, les fonctions d'OpenSSL qui nécessitent
|
|
Packit |
90a5c9 |
des données aléatoires provoquent une erreur si le PRNG n'a pas été amorcé
|
|
Packit |
90a5c9 |
avec une source de données aléatoires d'au moins 128 bits.
|
|
Packit |
90a5c9 |
Pour éviter cette erreur, mod_ssl doit fournir
|
|
Packit |
90a5c9 |
suffisamment d'entropie au PRNG pour lui permettre de fonctionner
|
|
Packit |
90a5c9 |
correctement. Ce niveau d'entropie est défini par la directive
|
|
Packit |
90a5c9 |
SSLRandomSeed .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Peut-on faire cohabiter HTTP et HTTPS sur le même
|
|
Packit |
90a5c9 |
serveur ?
|
|
Packit |
90a5c9 |
Quel port HTTPS utilise-t-il ?
|
|
Packit |
90a5c9 |
Comment s'exprimer en langage HTTPS à des fins
|
|
Packit |
90a5c9 |
de test ?
|
|
Packit |
90a5c9 |
Pourquoi la communication se bloque-t-elle lorsque je
|
|
Packit |
90a5c9 |
me connecte à mon serveur Apache configuré pour SSL ?
|
|
Packit |
90a5c9 |
Pourquoi, lorsque je tente d'accéder en HTTPS à mon
|
|
Packit |
90a5c9 |
serveur Apache+mod_ssl fraîchement installé, l'erreur ``Connection Refused''
|
|
Packit |
90a5c9 |
s'affiche-t-elle ?
|
|
Packit |
90a5c9 |
Pourquoi les variables SSL_XXX
|
|
Packit |
90a5c9 |
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?
|
|
Packit |
90a5c9 |
Comment puis-je basculer entre les protocoles HTTP et
|
|
Packit |
90a5c9 |
HTTPS dans les hyperliens relatifs ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
serveur ?
|
|
Packit |
90a5c9 |
Oui. HTTP et HTTPS utilisent des ports différents (HTTP écoute le port
|
|
Packit |
90a5c9 |
80 et HTTPS le port 443), si bien qu'il n'y a pas de conflit direct entre
|
|
Packit |
90a5c9 |
les deux. Vous pouvez soit exécuter deux instances séparées du serveur,
|
|
Packit |
90a5c9 |
chacune d'entre elles écoutant l'un de ces ports, soit utiliser l'élégante
|
|
Packit |
90a5c9 |
fonctionnalité d'Apache que constituent les hôtes virtuels pour créer
|
|
Packit |
90a5c9 |
deux serveurs virtuels gérés par la même instance d'Apache - le
|
|
Packit |
90a5c9 |
premier serveur répondant en HTTP aux requêtes sur le port 80,
|
|
Packit |
90a5c9 |
le second répondant en HTTPS aux requêtes sur le port
|
|
Packit |
90a5c9 |
443.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous pouvez associer le protocole HTTPS à n'importe quel port, mais le port
|
|
Packit |
90a5c9 |
standard est le port 443, que tout navigateur compatible HTTPS va utiliser par
|
|
Packit |
90a5c9 |
défaut. Vous pouvez forcer votre navigateur à utiliser un port différent en le
|
|
Packit |
90a5c9 |
précisant dans l'URL. Par exemple, si votre serveur est configuré pour
|
|
Packit |
90a5c9 |
servir des pages en HTTPS sur le port 8080, vous pourrez y accéder par
|
|
Packit |
90a5c9 |
l'adresse https://example.com:8080/ .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
de test ?
|
|
Packit |
90a5c9 |
Alors que vous utilisez simplement
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
GET / HTTP/1.0
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
pour tester facilement Apache via HTTP, les choses ne sont pas si
|
|
Packit |
90a5c9 |
simples pour HTTPS à cause du protocole SSL situé entre TCP et HTTP.
|
|
Packit |
90a5c9 |
La commande OpenSSL s_client vous permet cependant
|
|
Packit |
90a5c9 |
d'effectuer un test similaire via HTTPS :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl s_client -connect localhost:443 -state -debug
|
|
Packit |
90a5c9 |
GET / HTTP/1.0
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Avant la véritable réponse HTTP, vous recevrez des informations
|
|
Packit |
90a5c9 |
détaillées à propos de l'établissement de la connexion SSL. Si vous
|
|
Packit |
90a5c9 |
recherchez un client en ligne de commande à usage plus général qui comprend
|
|
Packit |
90a5c9 |
directement HTTP et HTTPS, qui peut effectuer des opérations GET et POST,
|
|
Packit |
90a5c9 |
peut utiliser un mandataire, supporte les requêtes portant sur une partie
|
|
Packit |
90a5c9 |
d'un fichier (byte-range), etc..., vous devriez vous tourner vers
|
|
Packit |
90a5c9 |
l'excellent outil cURL. Grâce à lui,
|
|
Packit |
90a5c9 |
vous pouvez vérifier si Apache répond correctement aux requêtes via
|
|
Packit |
90a5c9 |
HTTP et HTTPS comme suit :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ curl https://localhost/
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
me connecte à mon serveur Apache configuré pour SSL ?
|
|
Packit |
90a5c9 |
Ceci peut arriver si vous vous connectez à un serveur HTTPS (ou à
|
|
Packit |
90a5c9 |
un serveur virtuel) via HTTP (par exemple, en utilisant
|
|
Packit |
90a5c9 |
http://example.com/ au lieu de https://example.com ).
|
|
Packit |
90a5c9 |
Cela peut aussi arriver en essayant de vous connecter via HTTPS à un
|
|
Packit |
90a5c9 |
serveur HTTP (par exemple, en utilisant https://example.com/
|
|
Packit |
90a5c9 |
avec un serveur qui ne supporte pas HTTPS, ou le supporte, mais sur un
|
|
Packit |
90a5c9 |
port non standard). Assurez-vous que vous vous connectez bien à un
|
|
Packit |
90a5c9 |
serveur (virtuel) qui supporte SSL.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
serveur Apache+mod_ssl fraîchement installé, l'erreur ``Connection Refused''
|
|
Packit |
90a5c9 |
s'affiche-t-elle ?
|
|
Packit |
90a5c9 |
Une configuration incorrecte peut provoquer ce type d'erreur.
|
|
Packit |
90a5c9 |
Assurez-vous que vos directives Listen s'accordent avec vos directives
|
|
Packit |
90a5c9 |
<VirtualHost> . Si
|
|
Packit |
90a5c9 |
l'erreur persiste, recommencez depuis le début en restaurant la
|
|
Packit |
90a5c9 |
configuration par défaut fournie parmod_ssl .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?
|
|
Packit |
90a5c9 |
Assurez-vous que la directive ``SSLOptions +StdEnvVars '' est
|
|
Packit |
90a5c9 |
bien présente dans le contexte de vos requêtes CGI/SSI.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
HTTPS dans les hyperliens relatifs ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Normalement, pour basculer entre HTTP et HTTPS, vous devez utiliser des
|
|
Packit |
90a5c9 |
hyperliens pleinement qualifiés (car vous devez modifier le schéma de l'URL).
|
|
Packit |
90a5c9 |
Cependant, à l'aide du module mod_rewrite , vous pouvez
|
|
Packit |
90a5c9 |
manipuler des hyperliens relatifs, pour obtenir le même effet.
|
|
Packit |
90a5c9 |
RewriteEngine on
|
|
Packit |
90a5c9 |
RewriteRule "^/(.*)_SSL$" "https://%{SERVER_NAME}/$1" [R,L]
|
|
Packit |
90a5c9 |
RewriteRule "^/(.*)_NOSSL$" "http://%{SERVER_NAME}/$1" [R,L]
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Ce jeu de règles rewrite vous permet d'utiliser des hyperliens de la
|
|
Packit |
90a5c9 |
forme <a href="document.html_SSL"> pour passer en HTTPS
|
|
Packit |
90a5c9 |
dans les liens relatifs. (Remplacez SSL par NOSSL pour passer en HTTP.)
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Qu'est-ce qu'un clé privée RSA, un certificat,
|
|
Packit |
90a5c9 |
une demande de signature de certificat (CSR) ?
|
|
Packit |
90a5c9 |
Y a-t-il une différence au démarrage entre un serveur
|
|
Packit |
90a5c9 |
Apache non SSL et un serveur Apache supportant SSL ?
|
|
Packit |
90a5c9 |
Comment créer un certificat auto-signé SSL à des
|
|
Packit |
90a5c9 |
fins de test ?
|
|
Packit |
90a5c9 |
Comment créer un vrai certificat SSL ?
|
|
Packit |
90a5c9 |
Comment créer et utiliser sa propre Autorité de
|
|
Packit |
90a5c9 |
certification (CA) ?
|
|
Packit |
90a5c9 |
Comment modifier le mot de passe
|
|
Packit |
90a5c9 |
de ma clé privée ?
|
|
Packit |
90a5c9 |
Comment démarrer Apache sans avoir à entrer de
|
|
Packit |
90a5c9 |
mot de passe ?
|
|
Packit |
90a5c9 |
Comment vérifier si une clé privée correspond bien
|
|
Packit |
90a5c9 |
à son certificat ?
|
|
Packit |
90a5c9 |
Comment convertir un certificat du format PEM
|
|
Packit |
90a5c9 |
au format DER ?
|
|
Packit |
90a5c9 |
Pourquoi les navigateurs se plaignent-ils de ne pas pouvoir
|
|
Packit |
90a5c9 |
vérifier mon certificat de serveur ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
une demande de signature de certificat (CSR) ?
|
|
Packit |
90a5c9 |
Un fichier de clé privée RSA est un fichier numérique que vous pouvez
|
|
Packit |
90a5c9 |
utiliser pour déchiffrer des messages que l'on vous a envoyés. Il a son
|
|
Packit |
90a5c9 |
pendant à caractère public que vous pouvez distribuer (par le biais de votre
|
|
Packit |
90a5c9 |
certificat), ce qui permet aux utilisateurs de chiffrer les messages qu'ils
|
|
Packit |
90a5c9 |
vous envoient.
|
|
Packit |
90a5c9 |
Une Demande de Signature de Certificat (CSR) est un fichier numérique
|
|
Packit |
90a5c9 |
qui contient votre clé publique et votre nom. La CSR doit être envoyée à
|
|
Packit |
90a5c9 |
une Autorité de Certification (CA), qui va la convertir en vrai certificat
|
|
Packit |
90a5c9 |
en la signant.
|
|
Packit |
90a5c9 |
Un certificat contient votre clé publique RSA, votre nom, le nom
|
|
Packit |
90a5c9 |
de la CA, et est signé numériquement par cette dernière. Les navigateurs
|
|
Packit |
90a5c9 |
qui reconnaissent la CA peuvent vérifier la signature du certificat, et
|
|
Packit |
90a5c9 |
ainsi en extraire votre clé publique RSA. Ceci leur permet de vous envoyer
|
|
Packit |
90a5c9 |
des messages chiffrés que vous seul pourrez déchiffrer.
|
|
Packit |
90a5c9 |
Se référer au chapitre Introduction
|
|
Packit |
90a5c9 |
pour une description générale du protocole SSL.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Apache non SSL et un serveur Apache supportant SSL ?
|
|
Packit |
90a5c9 |
Oui. En général, avec ou sans mod_ssl intégré, le démarrage
|
|
Packit |
90a5c9 |
d'Apache ne présente pas de différences. Cependant, si votre fichier de clé
|
|
Packit |
90a5c9 |
privée SSL possède un mot de passe, vous devrez le taper au démarrage
|
|
Packit |
90a5c9 |
d'Apache.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Devoir entrer manuellement le mot de passe au démarrage du serveur peut
|
|
Packit |
90a5c9 |
poser quelques problèmes - par exemple, quand le serveur est démarré au
|
|
Packit |
90a5c9 |
moyen de scripts au lancement du système. Dans ce cas, vous pouvez suivre
|
|
Packit |
90a5c9 |
les étapes ci-dessous pour supprimer le
|
|
Packit |
90a5c9 |
mot de passe de votre clé privée. Gardez à l'esprit qu'agir ainsi augmente
|
|
Packit |
90a5c9 |
les risques de sécurité - agissez avec précaution !
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
fins de test ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vérifiez qu'OpenSSL est installé et l'exécutable openssl dans votre
|
|
Packit |
90a5c9 |
PATH .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Exécuter la commande suivante pour créer les fichiers
|
|
Packit |
90a5c9 |
server.key et server.crt :
|
|
Packit |
90a5c9 |
$ openssl req -new -x509 -nodes -out server.crt
|
|
Packit |
90a5c9 |
-keyout server.key
|
|
Packit |
90a5c9 |
Ces fichiers seront utilisés comme suit dans votre
|
|
Packit |
90a5c9 |
httpd.conf :
|
|
Packit |
90a5c9 |
SSLCertificateFile "/path/to/this/server.crt"
|
|
Packit |
90a5c9 |
SSLCertificateKeyFile "/path/to/this/server.key"
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Il est important de savoir que le fichier server.key n'a
|
|
Packit |
90a5c9 |
pas de mot de passe. Pour ajouter un mot de passe à la clé, vous
|
|
Packit |
90a5c9 |
devez exécuter la commande suivante et confirmer le mot de passe comme
|
|
Packit |
90a5c9 |
demandé.
|
|
Packit |
90a5c9 |
$ openssl rsa -des3 -in server.key -out
|
|
Packit |
90a5c9 |
server.key.new
|
|
Packit |
90a5c9 |
$ mv server.key.new server.key
|
|
Packit |
90a5c9 |
Sauvegardez le fichier server.key ainsi que son mot de
|
|
Packit |
90a5c9 |
passe en lieu sûr.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Voici la marche à suivre pas à pas :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Assurez-vous qu'OpenSSL est bien installé et dans votre PATH .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Créez une clé privée RSA pour votre serveur Apache
|
|
Packit |
90a5c9 |
(elle sera au format PEM et chiffrée en Triple-DES):
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl genrsa -des3 -out server.key 2048
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Enregistrez le fichier server.key et le mot de passe
|
|
Packit |
90a5c9 |
éventuellement défini en lieu sûr.
|
|
Packit |
90a5c9 |
Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
|
|
Packit |
90a5c9 |
commande :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl rsa -noout -text -in server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Si nécessaire, vous pouvez aussi créer une version PEM non chiffrée
|
|
Packit |
90a5c9 |
(non recommandé) de clé privée RSA avec :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl rsa -in server.key -out server.key.unsecure
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Créez une Demande de signature de Certificat (CSR) à l'aide de la
|
|
Packit |
90a5c9 |
clé privée précédemment générée (la sortie sera au format PEM):
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl req -new -key server.key -out server.csr
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous devez entrer le Nom de Domaine Pleinement Qualifié
|
|
Packit |
90a5c9 |
("Fully Qualified Domain Name" ou FQDN) de votre serveur lorsqu'OpenSSL
|
|
Packit |
90a5c9 |
vous demande le "CommonName", c'est à dire que si vous générez une CSR
|
|
Packit |
90a5c9 |
pour un site web auquel on accèdera par l'URL
|
|
Packit |
90a5c9 |
https://www.foo.dom/ , le FQDN sera "www.foo.dom". Vous
|
|
Packit |
90a5c9 |
pouvez afficher les détails de ce CSR avec :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl req -noout -text -in server.csr
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous devez maintenant envoyer la CSR à une Autorité de Certification
|
|
Packit |
90a5c9 |
(CA), afin que cette dernière puisse la signer. Une fois la CSR signée,
|
|
Packit |
90a5c9 |
vous disposerez d'un véritable certificat que vous pourrez utiliser avec
|
|
Packit |
90a5c9 |
Apache. Vous pouvez faire signer votre CSR par une CA commerciale ou par
|
|
Packit |
90a5c9 |
votre propre CA.
|
|
Packit |
90a5c9 |
Les CAs commerciales vous demandent en général de leur envoyer la CSR
|
|
Packit |
90a5c9 |
par l'intermédiaire d'un formulaire web, de régler le montant de la
|
|
Packit |
90a5c9 |
signature, puis vous envoient un certificat signé que vous pouvez
|
|
Packit |
90a5c9 |
enregistrer dans un fichier server.crt.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pour plus de détails sur la manière de créer sa propre CA, et de
|
|
Packit |
90a5c9 |
l'utiliser pour signer une CSR, voir ci-dessous.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Une fois la CSR signée, vous pouvez afficher les détails du certificat
|
|
Packit |
90a5c9 |
comme suit :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl x509 -noout -text -in server.crt
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous devez maintenant disposer de deux fichiers :
|
|
Packit |
90a5c9 |
server.key et server.crt . Ils sont précisés dans
|
|
Packit |
90a5c9 |
votre fichier httpd.conf comme suit :
|
|
Packit |
90a5c9 |
SSLCertificateFile "/path/to/this/server.crt"
|
|
Packit |
90a5c9 |
SSLCertificateKeyFile "/path/to/this/server.key"
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Le fichier server.csr n'est plus nécessaire.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
certification (CA) ?
|
|
Packit |
90a5c9 |
La solution la plus simple consiste à utiliser les scripts
|
|
Packit |
90a5c9 |
CA.sh ou CA.pl fournis avec OpenSSL. De
|
|
Packit |
90a5c9 |
préférence, utilisez cette solution, à moins que vous ayez de bonnes
|
|
Packit |
90a5c9 |
raisons de ne pas le faire. Dans ce dernier cas, vous pouvez créer un
|
|
Packit |
90a5c9 |
certificat auto-signé comme suit :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Créez une clé privée RSA pour votre serveur
|
|
Packit |
90a5c9 |
(elle sera au format PEM et chiffrée en Triple-DES) :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl genrsa -des3 -out server.key 2048
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Sauvegardez le fichier server.key et le mot de passe
|
|
Packit |
90a5c9 |
éventuellement défini en lieu sûr.
|
|
Packit |
90a5c9 |
Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
|
|
Packit |
90a5c9 |
commande :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl rsa -noout -text -in server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Si nécessaire, vous pouvez aussi créer une version PEM non chiffrée
|
|
Packit |
90a5c9 |
(non recommandé) de cette clé privée RSA avec :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl rsa -in server.key -out server.key.unsecure
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Créez un certificat auto-signé (structure X509) à l'aide de la clé RSA
|
|
Packit |
90a5c9 |
que vous venez de générer (la sortie sera au format PEM) :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl req -new -x509 -nodes -sha1 -days 365
|
|
Packit |
90a5c9 |
-key server.key -out server.crt -extensions usr_cert
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Cette commande signe le certificat du serveur et produit un fichier
|
|
Packit |
90a5c9 |
server.crt . Vous pouvez afficher les détails de ce
|
|
Packit |
90a5c9 |
certificat avec :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl x509 -noout -text -in server.crt
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
de ma clé privée ?
|
|
Packit |
90a5c9 |
Vous devez simplement lire la clé avec l'ancien mot de passe et la
|
|
Packit |
90a5c9 |
réécrire en spécifiant le nouveau mot de passe. Pour cela, vous pouvez
|
|
Packit |
90a5c9 |
utiliser les commandes suivantes :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl rsa -des3 -in server.key -out server.key.new
|
|
Packit |
90a5c9 |
$ mv server.key.new server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
La première fois qu'il vous est demandé un mot de passe PEM, vous
|
|
Packit |
90a5c9 |
devez entrer l'ancien mot de passe. Ensuite, on vous demandera d'entrer
|
|
Packit |
90a5c9 |
encore un mot de passe - cette fois, entrez le nouveau mot de passe. Si on
|
|
Packit |
90a5c9 |
vous demande de vérifier le mot de passe, vous devrez entrer le nouveau
|
|
Packit |
90a5c9 |
mot de passe une seconde fois.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
mot de passe ?
|
|
Packit |
90a5c9 |
L'apparition de ce dialogue au démarrage et à chaque redémarrage provient
|
|
Packit |
90a5c9 |
du fait que la clé privée RSA contenue dans votre fichier server.key est
|
|
Packit |
90a5c9 |
enregistrée sous forme chiffrée pour des raisons de sécurité. Le
|
|
Packit |
90a5c9 |
déchiffrement de ce fichier nécessite un mot de passe, afin de pouvoir être
|
|
Packit |
90a5c9 |
lu et interprété. Cependant, La suppression du mot de passe diminue le niveau de
|
|
Packit |
90a5c9 |
sécurité du serveur - agissez avec précautions !
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Supprimer le chiffrement de la clé privée RSA (tout en conservant une
|
|
Packit |
90a5c9 |
copie de sauvegarde du fichier original) :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ cp server.key server.key.org
|
|
Packit |
90a5c9 |
$ openssl rsa -in server.key.org -out server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Assurez-vous que le fichier server.key n'est lisible que par root :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ chmod 400 server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Maintenant, server.key contient une copie non chiffrée de
|
|
Packit |
90a5c9 |
la clé. Si vous utilisez ce fichier pour votre serveur, il ne vous
|
|
Packit |
90a5c9 |
demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive à obtenir
|
|
Packit |
90a5c9 |
cette clé, il sera en mesure d'usurper votre identité sur le réseau.
|
|
Packit |
90a5c9 |
Vous DEVEZ par conséquent vous assurer que seuls root ou le serveur web
|
|
Packit |
90a5c9 |
peuvent lire ce fichier (de préférence, démarrez le serveur web sous
|
|
Packit |
90a5c9 |
root et faites le s'exécuter sous un autre utilisateur, en n'autorisant
|
|
Packit |
90a5c9 |
la lecture de la clé que par root).
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Une autre alternative consiste à utiliser la directive
|
|
Packit |
90a5c9 |
``SSLPassPhraseDialog exec:/chemin/vers/programme ''. Gardez
|
|
Packit |
90a5c9 |
cependant à l'esprit que ce n'est bien entendu ni plus ni moins
|
|
Packit |
90a5c9 |
sécurisé.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
à son certificat ?
|
|
Packit |
90a5c9 |
Une clé privée contient une série de nombres. Deux de ces nombres forment la
|
|
Packit |
90a5c9 |
"clé publique", les autres appartiennent à la "clé privée". Les bits de la
|
|
Packit |
90a5c9 |
"clé publique" sont inclus quand vous générez une CSR, et font par
|
|
Packit |
90a5c9 |
conséquent partie du certificat associé.
|
|
Packit |
90a5c9 |
Pour vérifier que la clé publique contenue dans votre certificat
|
|
Packit |
90a5c9 |
correspond bien à la partie publique de votre clé privée, il vous suffit
|
|
Packit |
90a5c9 |
de comparer ces nombres. Pour afficher le certificat et la clé,
|
|
Packit |
90a5c9 |
utilisez cette commande :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl x509 -noout -text -in server.crt
|
|
Packit |
90a5c9 |
$ openssl rsa -noout -text -in server.key
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Les parties `modulus' et `public exponent' doivent être identiques dans
|
|
Packit |
90a5c9 |
la clé et le certificat. Comme le `public exponent' est habituellement
|
|
Packit |
90a5c9 |
65537, et comme il est difficile de vérifier visuellement que les nombreux
|
|
Packit |
90a5c9 |
nombres du `modulus' sont identiques, vous pouvez utiliser l'approche
|
|
Packit |
90a5c9 |
suivante :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl x509 -noout -modulus -in server.crt | openssl md5
|
|
Packit |
90a5c9 |
$ openssl rsa -noout -modulus -in server.key | openssl md5
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Il ne vous reste ainsi que deux nombres relativement courts à comparer.
|
|
Packit |
90a5c9 |
Il est possible, en théorie que ces deux nombres soient les mêmes, sans que
|
|
Packit |
90a5c9 |
les nombres du modulus soient identiques, mais les chances en sont infimes.
|
|
Packit |
90a5c9 |
Si vous souhaitez vérifier à quelle clé ou certificat appartient une CSR
|
|
Packit |
90a5c9 |
particulière, vous pouvez effectuer le même calcul
|
|
Packit |
90a5c9 |
sur la CSR comme suit :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
$ openssl req -noout -modulus -in server.csr | openssl md5
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
au format DER ?
|
|
Packit |
90a5c9 |
Le format des certificats par défaut pour OpenSSL est le format PEM,
|
|
Packit |
90a5c9 |
qui est tout simplement un format DER codé en Base64, avec des lignes
|
|
Packit |
90a5c9 |
d'en-têtes et des annotations. Certaines applications, comme
|
|
Packit |
90a5c9 |
Microsoft Internet Explorer, ont besoin d'un certificat au format DER de base.
|
|
Packit |
90a5c9 |
Vous pouvez convertir un fichier PEM cert.pem en son équivalent
|
|
Packit |
90a5c9 |
au format DER cert.der à l'aide de la commande suivante :
|
|
Packit |
90a5c9 |
$ openssl x509 -in cert.pem -out cert.der
|
|
Packit |
90a5c9 |
-outform DER
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
vérifier mon certificat de serveur ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Ceci peut se produire si votre certificat de serveur est signé
|
|
Packit |
90a5c9 |
par une autorité de certification intermédiaire. Plusieurs CAs,
|
|
Packit |
90a5c9 |
comme Verisign ou Thawte, ont commencé à signer les certificats avec
|
|
Packit |
90a5c9 |
des certificats intermédiaires au lieu de leur certificat racine.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Les certificats de CA intermédiaires se situe à un niveau
|
|
Packit |
90a5c9 |
intermédiaire entre le certificat racine de la CA (qui est installé dans les
|
|
Packit |
90a5c9 |
navigateurs) et le certificat du serveur (que vous avez installé sur
|
|
Packit |
90a5c9 |
votre serveur). Pour que le navigateur puisse traverser et vérifier
|
|
Packit |
90a5c9 |
la chaîne de confiance depuis le certificat du serveur jusqu'au
|
|
Packit |
90a5c9 |
certificat racine, il faut lui fournir les certificats
|
|
Packit |
90a5c9 |
intermédiaires. Les CAs devraient pouvoir fournir de tels
|
|
Packit |
90a5c9 |
paquetages de certificats intermédiaires à installer sur les
|
|
Packit |
90a5c9 |
serveurs.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous devez inclure ces certificats intermédiaires via la
|
|
Packit |
90a5c9 |
directive SSLCertificateChainFile .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pourquoi de nombreuses et aléatoires erreurs de
|
|
Packit |
90a5c9 |
protocole SSL apparaissent-elles en cas de forte charge du serveur ?
|
|
Packit |
90a5c9 |
Pourquoi la charge de mon serveur est-elle plus
|
|
Packit |
90a5c9 |
importante depuis qu'il sert des ressources chiffrées en SSL ?
|
|
Packit |
90a5c9 |
Pourquoi les connexions en HTTPS à mon serveur
|
|
Packit |
90a5c9 |
prennent-elles parfois jusqu'à 30 secondes pour s'établir ?
|
|
Packit |
90a5c9 |
Quels sont les algorithmes de chiffrement
|
|
Packit |
90a5c9 |
supportés par mod_ssl ?
|
|
Packit |
90a5c9 |
Pourquoi une erreur ``no shared cipher'' apparaît-elle
|
|
Packit |
90a5c9 |
quand j'essaie d'utiliser un algorithme de chiffrement
|
|
Packit |
90a5c9 |
Diffie-Hellman anonyme (ADH) ?
|
|
Packit |
90a5c9 |
Pourquoi une erreur ``no shared cipher''
|
|
Packit |
90a5c9 |
apparaît-elle lorsqu'on se connecte à mon serveur
|
|
Packit |
90a5c9 |
fraîchement installé ?
|
|
Packit |
90a5c9 |
Pourquoi ne peut-on pas utiliser SSL avec des hôtes
|
|
Packit |
90a5c9 |
virtuels identifiés par un nom et non par une adresse IP ?
|
|
Packit |
90a5c9 |
Est-il possible d'utiliser
|
|
Packit |
90a5c9 |
l'hébergement virtuel basé sur le nom d'hôte
|
|
Packit |
90a5c9 |
pour différencier plusieurs hôtes virtuels ?
|
|
Packit |
90a5c9 |
Comment mettre en oeuvre la compression SSL ?
|
|
Packit |
90a5c9 |
Lorsque j'utilise l'authentification de base sur HTTPS,
|
|
Packit |
90a5c9 |
l'icône de verrouillage des navigateurs Netscape reste ouverte quand la boîte
|
|
Packit |
90a5c9 |
de dialogue d'authentification apparaît. Cela signifie-t-il que les utilisateur
|
|
Packit |
90a5c9 |
et mot de passe sont envoyés en clair ?
|
|
Packit |
90a5c9 |
Pourquoi des erreurs d'entrée/sortie apparaissent-elles
|
|
Packit |
90a5c9 |
lorsqu'on se connecte à un serveur Apache+mod_ssl avec
|
|
Packit |
90a5c9 |
Microsoft Internet Explorer (MSIE) ?
|
|
Packit |
90a5c9 |
Comment activer TLS-SRP ?
|
|
Packit |
90a5c9 |
Pourquoi des erreurs de négociation apparaissent
|
|
Packit |
90a5c9 |
avec les clients basés sur Java lorsqu'on utilise un certificat de plus
|
|
Packit |
90a5c9 |
de 1024 bits ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
protocole SSL apparaissent-elles en cas de forte charge du serveur ?
|
|
Packit |
90a5c9 |
Ce problème peut avoir plusieurs causes, mais la principale réside dans le
|
|
Packit |
90a5c9 |
cache de session SSL défini par la directive
|
|
Packit |
90a5c9 |
SSLSessionCache . Le cache de session
|
|
Packit |
90a5c9 |
DBM est souvent à la source du problème qui peut être résolu en utilisant le
|
|
Packit |
90a5c9 |
cache de session SHM (ou en n'utilisant tout simplement pas de cache).
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
importante depuis qu'il sert des ressources chiffrées en SSL ?
|
|
Packit |
90a5c9 |
SSL utilise un procédé de chiffrement fort qui nécessite la manipulation
|
|
Packit |
90a5c9 |
d'une quantité très importante de nombres. Lorsque vous effectuez une requête
|
|
Packit |
90a5c9 |
pour une page web via HTTPS, tout (même les images) est chiffré avant d'être
|
|
Packit |
90a5c9 |
transmis. C'est pourquoi un accroissement du traffic HTTPS entraîne une
|
|
Packit |
90a5c9 |
augmentation de la charge.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
prennent-elles parfois jusqu'à 30 secondes pour s'établir ?
|
|
Packit |
90a5c9 |
Ce problème provient en général d'un périphérique /dev/random
|
|
Packit |
90a5c9 |
qui bloque l'appel système read(2) jusqu'à ce que suffisamment d'entropie
|
|
Packit |
90a5c9 |
soit disponible pour servir la requête. Pour plus d'information, se référer au
|
|
Packit |
90a5c9 |
manuel de référence de la directive
|
|
Packit |
90a5c9 |
SSLRandomSeed .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
supportés par mod_ssl ?
|
|
Packit |
90a5c9 |
En général, tous les algorithmes de chiffrement supportés par la version
|
|
Packit |
90a5c9 |
d'OpenSSL installée, le sont aussi par mod_ssl . La liste des
|
|
Packit |
90a5c9 |
algorithmes disponibles peut dépendre de la manière dont vous avez installé
|
|
Packit |
90a5c9 |
OpenSSL. Typiquement, au moins les algorithmes suivants sont supportés :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
RC4 avec SHA1
|
|
Packit |
90a5c9 |
AES avec SHA1
|
|
Packit |
90a5c9 |
Triple-DES avec SHA1
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pour déterminer la liste réelle des algorithmes disponibles, vous
|
|
Packit |
90a5c9 |
pouvez utiliser la commande suivante :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
quand j'essaie d'utiliser un algorithme de chiffrement
|
|
Packit |
90a5c9 |
Diffie-Hellman anonyme (ADH) ?
|
|
Packit |
90a5c9 |
Par défaut et pour des raisons de sécurité, OpenSSl ne permet pas
|
|
Packit |
90a5c9 |
l'utilisation des algorithmes de chiffrements ADH. Veuillez vous informer
|
|
Packit |
90a5c9 |
sur les effets pervers potentiels si vous choisissez d'activer le support
|
|
Packit |
90a5c9 |
de ces algorithmes de chiffrements.
|
|
Packit |
90a5c9 |
Pour pouvoir utiliser les algorithmes de chiffrements Diffie-Hellman
|
|
Packit |
90a5c9 |
anonymes (ADH), vous devez compiler OpenSSL avec
|
|
Packit |
90a5c9 |
``-DSSL_ALLOW_ADH '', puis ajouter ``ADH '' à votre
|
|
Packit |
90a5c9 |
directive SSLCipherSuite .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
apparaît-elle lorsqu'on se connecte à mon serveur
|
|
Packit |
90a5c9 |
fraîchement installé ?
|
|
Packit |
90a5c9 |
Soit vous avez fait une erreur en définissant votre directive
|
|
Packit |
90a5c9 |
SSLCipherSuite (comparez-la avec
|
|
Packit |
90a5c9 |
l'exemple préconfiguré dans extra/httpd-ssl.conf ), soit vous avez
|
|
Packit |
90a5c9 |
choisi d'utiliser des algorithmes DSA/DH au lieu de RSA lorsque vous avez
|
|
Packit |
90a5c9 |
généré votre clé privée, et avez ignoré ou êtes passé outre les
|
|
Packit |
90a5c9 |
avertissements. Si vous avez choisi DSA/DH, votre serveur est incapable de
|
|
Packit |
90a5c9 |
communiquer en utilisant des algorithmes de chiffrements SSL basés sur RSA
|
|
Packit |
90a5c9 |
(du moins tant que vous n'aurez pas configuré une paire clé/certificat RSA
|
|
Packit |
90a5c9 |
additionnelle). Les navigateurs modernes tels que NS ou IE ne peuvent
|
|
Packit |
90a5c9 |
communiquer par SSL qu'avec des algorithmes RSA. C'est ce qui provoque l'erreur
|
|
Packit |
90a5c9 |
"no shared ciphers". Pour la corriger, générez une nouvelle paire
|
|
Packit |
90a5c9 |
clé/certificat pour le serveur en utilisant un algorithme de chiffrement
|
|
Packit |
90a5c9 |
RSA.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
virtuels identifiés par un nom et non par une adresse IP ?
|
|
Packit |
90a5c9 |
La raison est très technique, et s'apparente au problème de la primauté de
|
|
Packit |
90a5c9 |
l'oeuf ou de la poule. La couche du protocole SSL se trouve en dessous de la
|
|
Packit |
90a5c9 |
couche de protocole HTTP qu'elle encapsule. Lors de l'établissement d'une
|
|
Packit |
90a5c9 |
connexion SSL (HTTPS), Apache/mod_ssl doit négocier les paramètres du
|
|
Packit |
90a5c9 |
protocole SSL avec le client. Pour cela, mod_ssl doit consulter la
|
|
Packit |
90a5c9 |
configuration du serveur virtuel (par exemple, il doit accéder à la suite
|
|
Packit |
90a5c9 |
d'algorithmes de chiffrement, au certificat du serveur, etc...). Mais afin de
|
|
Packit |
90a5c9 |
sélectionner le bon serveur virtuel, Apache doit connaître le contenu du champ
|
|
Packit |
90a5c9 |
d'en-tête HTTP Host . Pour cela, il doit lire l'en-tête de la
|
|
Packit |
90a5c9 |
requête HTTP. Mais il ne peut le faire tant que la négociation SSL n'est pas
|
|
Packit |
90a5c9 |
terminée, or, la phase de négociation SSL a besoin du nom d'hôte contenu
|
|
Packit |
90a5c9 |
dans l'en-tête de la requête. Voir la question suivante pour
|
|
Packit |
90a5c9 |
contourner ce problème.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Notez que si votre certificat comporte un nom de serveur avec
|
|
Packit |
90a5c9 |
caractères génériques, ou des noms de serveurs multiples dans le
|
|
Packit |
90a5c9 |
champ subjectAltName, vous pouvez utiliser SSL avec les serveurs
|
|
Packit |
90a5c9 |
virtuels à base de noms sans avoir à contourner ce problème.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
l'hébergement virtuel basé sur le nom d'hôte
|
|
Packit |
90a5c9 |
pour différencier plusieurs hôtes virtuels ?
|
|
Packit |
90a5c9 |
L'hébergement virtuel basé sur le nom est une méthode très populaire
|
|
Packit |
90a5c9 |
d'identification des différents hôtes virtuels. Il permet d'utiliser la
|
|
Packit |
90a5c9 |
même adresse IP et le même numéro de port pour de nombreux sites
|
|
Packit |
90a5c9 |
différents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser
|
|
Packit |
90a5c9 |
que l'on peut appliquer la même méthode pour gérer plusieurs hôtes
|
|
Packit |
90a5c9 |
virtuels SSL sur le même serveur.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
C'est possible, mais seulement si on utilise une version 2.2.12
|
|
Packit |
90a5c9 |
ou supérieure du serveur web compilée avec OpenSSL
|
|
Packit |
90a5c9 |
version 0.9.8j ou supérieure. Ceci est du au fait que
|
|
Packit |
90a5c9 |
l'utilisation de l'hébergement virtuel à base de nom
|
|
Packit |
90a5c9 |
avec SSL nécessite une fonctionnalité appelée
|
|
Packit |
90a5c9 |
Indication du Nom de Serveur (Server Name Indication - SNI) que
|
|
Packit |
90a5c9 |
seules les révisions les plus récentes de la
|
|
Packit |
90a5c9 |
spécification SSL supportent.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Notez que si votre certificat comporte un nom de serveur avec
|
|
Packit |
90a5c9 |
caractères génériques, ou des noms de serveurs multiples dans le
|
|
Packit |
90a5c9 |
champ subjectAltName, vous pouvez utiliser SSL avec les serveurs
|
|
Packit |
90a5c9 |
virtuels à base de noms sans avoir à contourner ce problème.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
La raison en est que le protocole SSL constitue une couche séparée qui
|
|
Packit |
90a5c9 |
encapsule le protocole HTTP. Aini, la session SSL nécessite une
|
|
Packit |
90a5c9 |
transaction séparée qui prend place avant que la session HTTP n'ait débuté.
|
|
Packit |
90a5c9 |
Le serveur reçoit une requête SSL sur l'adresse IP X et le port Y
|
|
Packit |
90a5c9 |
(habituellement 443). Comme la requête SSL ne contenait aucun
|
|
Packit |
90a5c9 |
en-tête Host:, le serveur n'avait aucun moyen de déterminer quel hôte virtuel SSL il
|
|
Packit |
90a5c9 |
devait utiliser. En général, il utilisait le premier
|
|
Packit |
90a5c9 |
qu'il trouvait et qui
|
|
Packit |
90a5c9 |
correspondait à l'adresse IP et au port spécifiés.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Par contre, si vous utilisez des versions du serveur web et
|
|
Packit |
90a5c9 |
d'OpenSSL qui supportent SNI, et si le navigateur du client le
|
|
Packit |
90a5c9 |
supporte aussi, alors le nom d'hôte sera inclus dans la
|
|
Packit |
90a5c9 |
requête SSL originale, et le serveur web pourra
|
|
Packit |
90a5c9 |
sélectionner le bon serveur virtuel SSL.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Bien entendu, vous pouvez utiliser l'hébergement virtuel basé sur le nom
|
|
Packit |
90a5c9 |
pour identifier de nombreux hôtes virtuels non-SSL
|
|
Packit |
90a5c9 |
(tous sur le port 80 par exemple), et ne gérer qu'un seul hôte virtuel SSL
|
|
Packit |
90a5c9 |
(sur le port 443). Mais dans ce cas, vous devez définir le numéro de port
|
|
Packit |
90a5c9 |
non-SSL à l'aide de la directive NameVirtualHost dans ce style :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
NameVirtualHost 192.168.1.1:80
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
il existe d'autres solutions alternatives comme :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Utiliser des adresses IP différentes pour chaque hôte SSL.
|
|
Packit |
90a5c9 |
Utiliser des numéros de port différents pour chaque hôte SSL.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Bien que la négociation pour la compression SSL ait été définie dans la
|
|
Packit |
90a5c9 |
spécification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a
|
|
Packit |
90a5c9 |
défini DEFLATE comme une méthode de compression standard négociable.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Depuis la version 0.9.8, OpenSSL supporte cette compression par défaut
|
|
Packit |
90a5c9 |
lorsqu'il est compilé avec l'option zlib . Si le client et le
|
|
Packit |
90a5c9 |
serveur supportent la compression, elle sera utilisée. Cependant, la
|
|
Packit |
90a5c9 |
plupart des clients essaient encore de se connecter avec un Hello SSLv2.
|
|
Packit |
90a5c9 |
Comme SSLv2 ne comportait pas de table des algorithmes de compression préférés
|
|
Packit |
90a5c9 |
dans sa négociation, la compression ne peut pas être négociée avec ces clients.
|
|
Packit |
90a5c9 |
Si le client désactive le support SSLv2, un Hello SSLv3 ou TLS peut être
|
|
Packit |
90a5c9 |
envoyé, selon la bibliothèque SSL utilisée, et la compression peut être mise
|
|
Packit |
90a5c9 |
en oeuvre. Vous pouvez vérifier si un client utilise la compression SSL en
|
|
Packit |
90a5c9 |
journalisant la variable %{SSL_COMPRESS_METHOD}x .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
l'icône de verrouillage des navigateurs Netscape reste ouverte quand la boîte
|
|
Packit |
90a5c9 |
de dialogue d'authentification apparaît. Cela signifie-t-il que les utilisateur
|
|
Packit |
90a5c9 |
et mot de passe sont envoyés en clair ?
|
|
Packit |
90a5c9 |
Non, le couple utilisateur/mot de passe est transmis sous forme chiffrée.
|
|
Packit |
90a5c9 |
L'icône de chiffrement dans les navigateurs Netscape n'est pas vraiment
|
|
Packit |
90a5c9 |
synchronisé avec la couche SSL/TLS. Il ne passe à l'état verrouillé
|
|
Packit |
90a5c9 |
qu'au moment où la première partie des données relatives à la page web
|
|
Packit |
90a5c9 |
proprement dite sont transférées, ce qui peut prêter à confusion. Le
|
|
Packit |
90a5c9 |
dispositif d'authentification de base appartient à la couche HTTP, qui
|
|
Packit |
90a5c9 |
est située au dessus de la couche SSL/TLS dans HTTPS. Avant tout
|
|
Packit |
90a5c9 |
transfert de données HTTP sous HTTPS, la couche SSL/TLS a déjà achevé
|
|
Packit |
90a5c9 |
sa phase de négociation et basculé dans le mode de communication
|
|
Packit |
90a5c9 |
chiffrée. Ne vous laissez donc pas abuser par l'état de cet icône.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
lorsqu'on se connecte via HTTPS à un serveur Apache+mod_ssl avec des
|
|
Packit |
90a5c9 |
versions anciennes de
|
|
Packit |
90a5c9 |
Microsoft Internet Explorer (MSIE) ?
|
|
Packit |
90a5c9 |
La première raison en est la présence dans l'implémentation SSL de
|
|
Packit |
90a5c9 |
certaines versions de MSIE de bogues subtils en rapport avec le
|
|
Packit |
90a5c9 |
dispositif de "maintien en vie" (keep-alive) HTTP, et les alertes de
|
|
Packit |
90a5c9 |
notification de fermeture de session SSL en cas de coupure de la
|
|
Packit |
90a5c9 |
connexion au point d'entrée (socket). De plus, l'interaction entre
|
|
Packit |
90a5c9 |
SSL et les fonctionnalités HTTP/1.1 pose problème avec certaines
|
|
Packit |
90a5c9 |
versions de MSIE. Vous pouvez contourner ces problèmes en interdisant
|
|
Packit |
90a5c9 |
à Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie
|
|
Packit |
90a5c9 |
ou l'envoi de messages de notification de fermeture de session SSL aux
|
|
Packit |
90a5c9 |
clients MSIE. Pour cela, vous pouvez utiliser la directive suivante
|
|
Packit |
90a5c9 |
dans votre section d'hôte virtuel avec support SSL :
|
|
Packit |
90a5c9 |
SetEnvIf User-Agent "MSIE [2-5]" \
|
|
Packit |
90a5c9 |
nokeepalive ssl-unclean-shutdown \
|
|
Packit |
90a5c9 |
downgrade-1.0 force-response-1.0
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
En outre, certaines versions de MSIE ont des problèmes avec des
|
|
Packit |
90a5c9 |
algorithmes de chiffrement particuliers. Hélas, il n'est pas
|
|
Packit |
90a5c9 |
possible d'apporter une solution spécifique à MSIE pour ces
|
|
Packit |
90a5c9 |
problèmes, car les algorithmes de chiffrement sont utilisés dès la
|
|
Packit |
90a5c9 |
phase de négociation SSL. Ainsi, une directive
|
|
Packit |
90a5c9 |
SetEnvIf spécifique
|
|
Packit |
90a5c9 |
à MSIE ne peut être d'aucun secours. Par contre, vous devrez
|
|
Packit |
90a5c9 |
ajuster les paramètres généraux de manière drastique. Avant de
|
|
Packit |
90a5c9 |
vous décider, soyez sûr que vos clients rencontrent vraiment des
|
|
Packit |
90a5c9 |
problèmes. Dans la négative, n'effectuez pas ces ajustements car
|
|
Packit |
90a5c9 |
ils affecteront tous vos clients, ceux utilisant MSIE,
|
|
Packit |
90a5c9 |
mais aussi les autres.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Le protocole TLS-SRP (Echange de clés sécurisé par mot de passe
|
|
Packit |
90a5c9 |
pour TLS comme spécifié dans la RFC 5054) peut compléter ou même
|
|
Packit |
90a5c9 |
remplacer les certificats lors du processus d'authentification des
|
|
Packit |
90a5c9 |
connexions SSL. Pour utiliser TLS-SRP, spécifiez un fichier de
|
|
Packit |
90a5c9 |
vérification SRP OpenSSL via la directive SSLSRPVerifierFile . Vous pouvez créer
|
|
Packit |
90a5c9 |
le fichier de vérification via l'utilitaire openssl :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
openssl srp -srpvfile passwd.srpv -add username
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Une fois ce fichier créé, vous devez le référencer dans la
|
|
Packit |
90a5c9 |
configuration du serveur SSL :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
SSLSRPVerifierFile /path/to/passwd.srpv
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pour forcer les clients à utiliser des algorithmes de chiffrement
|
|
Packit |
90a5c9 |
basés sur TLS-SRP et s'affranchissant des certificats, utilisez la
|
|
Packit |
90a5c9 |
directive suivante :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
SSLCipherSuite "!DSS:!aRSA:SRP"
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
avec les clients basés sur Java lorsqu'on utilise un certificat de plus
|
|
Packit |
90a5c9 |
de 1024 bits ?
|
|
Packit |
90a5c9 |
Depuis la version 2.4.7,
|
|
Packit |
90a5c9 |
mod_ssl utilise des paramètres DH qui comportent
|
|
Packit |
90a5c9 |
des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions
|
|
Packit |
90a5c9 |
antérieures ne supportent que les nombres premiers DH d'une longueur
|
|
Packit |
90a5c9 |
maximale de 1024 bits.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Si votre client basé sur Java s'arrête avec une exception telle
|
|
Packit |
90a5c9 |
que java.lang.RuntimeException: Could not generate DH
|
|
Packit |
90a5c9 |
keypair et
|
|
Packit |
90a5c9 |
java.security.InvalidAlgorithmParameterException: Prime size
|
|
Packit |
90a5c9 |
must be multiple of 64, and can only range from 512 to 1024
|
|
Packit |
90a5c9 |
(inclusive), et si httpd enregistre le message tlsv1
|
|
Packit |
90a5c9 |
alert internal error (SSL alert number 80) dans son journal
|
|
Packit |
90a5c9 |
des erreurs (avec un LogLevel
|
|
Packit |
90a5c9 |
info ou supérieur), vous pouvez soit réarranger la
|
|
Packit |
90a5c9 |
liste d'algorithmes de mod_ssl via la directive SSLCipherSuite (éventuellement en
|
|
Packit |
90a5c9 |
conjonction avec la directive SSLHonorCipherOrder ), soit utiliser des
|
|
Packit |
90a5c9 |
paramètres DH personnalisés avec un nombre
|
|
Packit |
90a5c9 |
premier de 1024 bits, paramètres qui seront toujours prioritaires
|
|
Packit |
90a5c9 |
par rapport à tout autre paramètre DH par défaut.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Pour générer des paramètres DH personnalisés, utilisez la
|
|
Packit |
90a5c9 |
commande openssl dhparam 1024 . Vous pouvez aussi
|
|
Packit |
90a5c9 |
utiliser les
|
|
Packit |
90a5c9 |
paramètres DH standards issus de la RFC 2409, section 6.2 :
|
|
Packit |
90a5c9 |
-----BEGIN DH PARAMETERS-----
|
|
Packit |
90a5c9 |
MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
|
|
Packit |
90a5c9 |
Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
|
|
Packit |
90a5c9 |
/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
|
|
Packit |
90a5c9 |
-----END DH PARAMETERS-----
|
|
Packit |
90a5c9 |
Ajoute les paramètres personnalisés incluant les lignes "BEGIN DH
|
|
Packit |
90a5c9 |
PARAMETERS" et "END DH PARAMETERS" à la fin du premier fichier de
|
|
Packit |
90a5c9 |
certificat défini via la directive SSLCertificateFile .
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Quelles sont les sources d'informations
|
|
Packit |
90a5c9 |
disponibles en cas de problème avec mod_ssl ?
|
|
Packit |
90a5c9 |
Qui peut-on contacter pour un support en cas de
|
|
Packit |
90a5c9 |
problème avec mod_ssl ?
|
|
Packit |
90a5c9 |
Quelles informations dois-je fournir lors
|
|
Packit |
90a5c9 |
de l'écriture d'un rapport de bogue ?
|
|
Packit |
90a5c9 |
Un vidage mémoire s'est produit,
|
|
Packit |
90a5c9 |
pouvez-vous m'aider ?
|
|
Packit |
90a5c9 |
Comment puis-je obtenir une journalisation de
|
|
Packit |
90a5c9 |
ce qui s'est passé, pour m'aider à trouver la raison de ce vidage
|
|
Packit |
90a5c9 |
mémoire ?
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
disponibles en cas de problème avec mod_ssl ?
|
|
Packit |
90a5c9 |
Voici les sources d'informations disponibles ; vous devez chercher
|
|
Packit |
90a5c9 |
ici en cas de problème.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Vous trouverez des réponses dans la Foire Aux Questions du
|
|
Packit |
90a5c9 |
manuel utilisateur (ce document)
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
http://httpd.apache.org/docs/2.4/ssl/ssl_faq.html
|
|
Packit |
90a5c9 |
Cherchez tout d'abord dans la foire aux questions
|
|
Packit |
90a5c9 |
(ce document). Si votre question est courante, on a déjà dû y
|
|
Packit |
90a5c9 |
répondre de nombreuses fois, et elle fait probablement partie
|
|
Packit |
90a5c9 |
de ce document.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
problème avec mod_ssl ?
|
|
Packit |
90a5c9 |
Voici toutes les possibilités de support pour mod_ssl, par ordre
|
|
Packit |
90a5c9 |
de préférence. Merci d'utiliser ces possibilités
|
|
Packit |
90a5c9 |
dans cet ordre - ne vous précipitez pas sur celle qui vous
|
|
Packit |
90a5c9 |
paraît la plus alléchante.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Envoyez un rapport de problème à la liste de diffusion de
|
|
Packit |
90a5c9 |
support des utilisateurs d'Apache httpd
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
users@httpd.apache.org
|
|
Packit |
90a5c9 |
C'est la deuxième manière de soumettre votre rapport de
|
|
Packit |
90a5c9 |
problème. Ici aussi, vous devez d'abord vous abonner à la
|
|
Packit |
90a5c9 |
liste, mais vous pourrez ensuite discuter facilement de votre
|
|
Packit |
90a5c9 |
problème avec l'ensemble de la communauté d'utilisateurs
|
|
Packit |
90a5c9 |
d'Apache httpd.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Ecrire un rapport de problème dans la base de données des
|
|
Packit |
90a5c9 |
bogues
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
http://httpd.apache.org/bug_report.html
|
|
Packit |
90a5c9 |
C'est la dernière manière de soumettre votre rapport de
|
|
Packit |
90a5c9 |
problème. Vous ne devez utiliser cette solution que si vous
|
|
Packit |
90a5c9 |
avez déjà écrit aux listes de diffusion, et n'avez pas trouvé
|
|
Packit |
90a5c9 |
de solution. Merci de suivre les instructions de la page
|
|
Packit |
90a5c9 |
mentionnée ci-dessus avec soin.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
de l'écriture d'un rapport de bogue ?
|
|
Packit |
90a5c9 |
Vous devez toujours fournir au moins les informations
|
|
Packit |
90a5c9 |
suivantes :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Les versions d'Apache httpd et OpenSSL installées
|
|
Packit |
90a5c9 |
La version d'Apache peut être déterminée en exécutant
|
|
Packit |
90a5c9 |
httpd -v . La version d'OpenSSL peut être déterminée
|
|
Packit |
90a5c9 |
en exécutant openssl version . Si Lynx est installé,
|
|
Packit |
90a5c9 |
vous pouvez aussi exécuter la commandelynx -mime_header
|
|
Packit |
90a5c9 |
http://localhost/ | grep Server et ainsi obtenir ces
|
|
Packit |
90a5c9 |
informations en une seule fois.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Les détails de votre installation d'Apache httpd et OpenSSL
|
|
Packit |
90a5c9 |
A cet effet, vous pouvez fournir un fichier journal de votre
|
|
Packit |
90a5c9 |
session de terminal qui montre les étapes de la configuration et
|
|
Packit |
90a5c9 |
de l'installation. En cas d'impossibilité, vous devez au moins
|
|
Packit |
90a5c9 |
fournir la ligne de commande configure que
|
|
Packit |
90a5c9 |
vous avez utilisée.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
En cas de vidage mémoire, inclure une trace de ce qui s'est
|
|
Packit |
90a5c9 |
passé
|
|
Packit |
90a5c9 |
Si votre serveur Apache httpd fait un vidage de sa
|
|
Packit |
90a5c9 |
mémoire, merci de fournir en pièce jointe un fichier contenant
|
|
Packit |
90a5c9 |
une trace de la zone dédiée à la pile (voir
|
|
Packit |
90a5c9 |
ci-dessous pour des informations sur la manière
|
|
Packit |
90a5c9 |
de l'obtenir). Il est nécessaire de disposer de ces informations
|
|
Packit |
90a5c9 |
afin de pouvoir déterminer la raison de votre vidage mémoire.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Une description détaillée de votre problème
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Ne riez pas, nous sommes sérieux ! De nombreux rapports
|
|
Packit |
90a5c9 |
n'incluent pas de description de la véritable nature du problème.
|
|
Packit |
90a5c9 |
Sans ces informations, il est très difficile pour quiconque de
|
|
Packit |
90a5c9 |
vous aider. Donc, et c'est votre propre intérêt (vous souhaitez
|
|
Packit |
90a5c9 |
que le problème soit résolu, n'est-ce pas ?), fournissez, s'il vous
|
|
Packit |
90a5c9 |
plait, le maximum de détails possible. Bien entendu, vous devez
|
|
Packit |
90a5c9 |
aussi inclure tout ce qui a été dit précédemment.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
pouvez-vous m'aider ?
|
|
Packit |
90a5c9 |
En général non, du moins tant que vous n'aurez pas fourni plus de
|
|
Packit |
90a5c9 |
détails à propos de la localisation dans le code où Apache a effectué
|
|
Packit |
90a5c9 |
son vidage mémoire. Ce dont nous avons en général besoin pour vous
|
|
Packit |
90a5c9 |
aider est une trace de ce qui s'est passé (voir la question suivante).
|
|
Packit |
90a5c9 |
Sans cette information, il est pratiquement impossible de déterminer
|
|
Packit |
90a5c9 |
la nature du problème et de vous aider à le résoudre.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
ce qui s'est passé, pour m'aider à trouver la raison de ce vidage
|
|
Packit |
90a5c9 |
mémoire ?
|
|
Packit |
90a5c9 |
Vous trouverez ci-dessous les différentes étapes permettant
|
|
Packit |
90a5c9 |
d'obtenir une journalisation des évènements (backtrace) :
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Assurez-vous que les symboles de débogage sont disponibles, au
|
|
Packit |
90a5c9 |
moins pour Apache. Pour cela, sur les plates-formes où GCC/GDB est
|
|
Packit |
90a5c9 |
utilisé, vous devez compiler Apache+mod_ssl avec l'option
|
|
Packit |
90a5c9 |
``OPTIM="-g -ggdb3" ''. Sur les autres plates-formes,
|
|
Packit |
90a5c9 |
l'option ``OPTIM="-g" '' est un minimum.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Démarrez le serveur et essayez de reproduire le vidage mémoire.
|
|
Packit |
90a5c9 |
A cet effet, vous pouvez utiliser une directive du style
|
|
Packit |
90a5c9 |
``CoreDumpDirectory /tmp '' pour être sûr que le
|
|
Packit |
90a5c9 |
fichier de vidage mémoire puisse bien être écrit. Vous devriez
|
|
Packit |
90a5c9 |
obtenir un fichier /tmp/core ou
|
|
Packit |
90a5c9 |
/tmp/httpd.core . Si ce n'est pas le cas, essayez de
|
|
Packit |
90a5c9 |
lancer votre serveur sous un UID autre que root.
|
|
Packit |
90a5c9 |
Pour des raisons de sécurité, de nombreux
|
|
Packit |
90a5c9 |
noyaux modernes de permettent pas à un processus de vider sa
|
|
Packit |
90a5c9 |
mémoire une fois qu'il a accompli un setuid() (à moins
|
|
Packit |
90a5c9 |
qu'il effectue un exec() ) car des informations d'un
|
|
Packit |
90a5c9 |
niveau privilégié pourraient être transmises en mémoire. Si
|
|
Packit |
90a5c9 |
nécessaire, vous pouvez exécuter /chemin/vers/httpd -X
|
|
Packit |
90a5c9 |
manuellement afin de ne pas permettre à Apache de se clôner (fork).
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Analysez le vidage mémoire. Pour cela, exécutez
|
|
Packit |
90a5c9 |
gdb /path/to/httpd /tmp/httpd.core ou une commande
|
|
Packit |
90a5c9 |
similaire. Dans GDB, tout ce que vous avez à faire est d'entrer
|
|
Packit |
90a5c9 |
bt , et voila, vous obtenez la backtrace. Pour les
|
|
Packit |
90a5c9 |
débogueurs autres que GDB consulter le manuel correspondant.
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
|
|
Packit |
90a5c9 |
Langues Disponibles: en |
|
|
Packit |
90a5c9 |
fr
|
|
Packit |
90a5c9 |
Notice:This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.
|
|
Packit |
90a5c9 |
<script type="text/javascript">
|
|
Packit |
90a5c9 |
var comments_shortname = 'httpd';
|
|
Packit |
90a5c9 |
var comments_identifier = 'http://httpd.apache.org/docs/2.4/ssl/ssl_faq.html';
|
|
Packit |
90a5c9 |
(function(w, d) {
|
|
Packit |
90a5c9 |
if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
|
|
Packit |
90a5c9 |
d.write('
|
|
Packit |
90a5c9 |
var s = d.createElement('script');
|
|
Packit |
90a5c9 |
s.type = 'text/javascript';
|
|
Packit |
90a5c9 |
s.async = true;
|
|
Packit |
90a5c9 |
s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
|
|
Packit |
90a5c9 |
(d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
|
|
Packit |
90a5c9 |
}
|
|
Packit |
90a5c9 |
else {
|
|
Packit |
90a5c9 |
d.write('
|
|
Packit |
90a5c9 |
}
|
|
Packit |
90a5c9 |
})(window, document);
|
|
Packit |
90a5c9 |
//--></script>
|
|
Packit |
90a5c9 |
Copyright 2018 The Apache Software Foundation. Autorisé sous Apache License, Version 2.0.
|
|
Packit |
90a5c9 |
Modules | Directives | FAQ | Glossaire | Plan du site <script type="text/javascript">
|
|
Packit |
90a5c9 |
if (typeof(prettyPrint) !== 'undefined') {
|
|
Packit |
90a5c9 |
prettyPrint();
|
|
Packit |
90a5c9 |
}
|
|
Packit |
90a5c9 |
//--></script>
|
|
Packit |
90a5c9 |
</body></html>
|