Blog

User blogs

Romain GEORGES

Tag cloud

video Redmine dependency Injection deadlock autoload gem divers SEGFAULT virus chat Glassfish POSIX IRC require aviation gaming outils timesheet Ruby duck typing sources operateur bon plan snake_case Module Design patterns Forwardable best practices sarkozy bdd criminalité schéma hashage slideshow voiture subversion Openwferu Singleton LDAP EGO Engine ratage index telephone couplage xkcd mascaret Paris inversion de controle moteur Apache business time CVS mock nsswitch opérateur langage impératif scientologie garbage collector ActiveLDAP micon bd décorateur mod_gnutls public DI scheduling guerre electronique full object callbacks variable de classe GemCutter tdd s-Exp 3D Amendes ioc OSX humour Flip Flop defined self describe Drb parking mobile design pattern Itérateur perl FreeBSD GTD code Methodic adapter affectation Rubygems benchmark Streamlined méthode LISP threads SVN fake gendarme Rails Codemasters surf test manifs plugin zip rools ordinogramme const_missing restaurant bug Urbanisme fibers Freenode langage fonctionnel migration jRuby ricard syntaxe BPM hooks javascript I18N logement gameboy economie lambda expression rspec comic mod_ssl processus expectation Passenger alfresco Ruote humeur Ruby rules J2EE plugins RVM Espagne usine à gaz japonais Meta-programmation class parallelisme rakudo classe workflow engine Union Européenne UNIX Actu java activiti Kerviel TGI emulateur Ports 1.8 surcharge Ultragreen SSL

POST #54 : virtualhosts SSL sur Apache2

Added by Romain GEORGES over 1 year ago

Soit Maudit support SNI (Server Name Indication) !

Contexte

Le support SNI, soit Server Name Indication, dans les librairies SSL. est normalement intégré sur ma version d'OpenSSL (> 0.9.8k),

Principe

Lorsqu'un client se connecte au serveur web en HTTPS, la connexion SSL est établie avant de connaitre le nom d'hôte cible, donc le certificat SSL qui est envoyé pour établir la connexion est toujours celui par défaut, j'avais appris à vivre avec, en gros le même certificats, pour tout le monde, et régime wilcard.ultragreen.net SSL pour tout le monde avec un alias en ultragreen.net qui va avec.

Défaillance régulière

A chaque mise à jours de la chaine Web, galère de config, mais jusqu'à présent je m'en suis toujours tiré, .... pas là !
Pbm de compatibilité, donc impossible de faire des vhosts SSL Nommés tout cours, layer SSL qui fait joliement Segfaulter mon httpd, même avec le même certificat,
D'habitude, entre deux versions d'OpenSSL et d'Apache2, un coup ça marchait, un coup ça marchait pas mais on reconfigurant ça marchait, un coups il fallait mettre les primitives de certificats en global context, un coup dans les Vhost, bref les updates étaient de vraies punitions.
Cette fois-ci j'ai testé TOUS mes Workarrounds habituels, mais rien, avant de baisser les bras, j'ai googlisé, et j'ai découvert qu'il y avait une autre voie que le coté obscur SSL.

Solution, mod-gnuTLS

En plus de marcher, correctement, c'est BEAUCOUP moins verbeux que mod_SSL+OpenSSL, ça permet du VRAI vhost SSL nommé sur une IP avec plusieurs certificats SSL, qui "marche-pour-de-vrai-c'est-pas-des-blagues-qu'en-fait-c'était-possible".

Migration

la migration sous mod_gnutls pour tous les vhosts sur les deux noeuds Web, c'est fait en moins d'une heure

Documentation

http://wiki.gandi.net/fr/ssl/multiplecertononehostipport

Also available in: Atom