Certificat SSL et Apache

snap972 · Le 08/06/2013, à 13:17

Bonjour a tous !

j'aimerais faire en sorte de sécuriser la connexion entre mon pc et ma debian virtuelle via du HTTPS à d’authentification par certificat.

Lorsque je me connecte en HTTPS à l'aide de mon navigateur Web à partir de ma physique vers ma debian,

mon navigateur me dit que le certificat présente un problème
Pourtant j'ai correctement importer le crt que j'ai généré sur mon serveur WEB debian

Ce que j'aimerais c'est faire en sorte que seul les machines disposant de ce certificat puisse accéder sur le site de mon serveur WEB

Quel est la procédure à suivre ?

Merci pour votre aide

nesthib · Le 08/06/2013, à 16:34

À moins de payer pour un certificat validé par une autorité de certification reconnue par les principaux navigateurs, tu auras toujours cet avertissement car tu utilises un certificat autosigné et il te faudra valider le certificat manuellement sur chaque machine cliente.
Quand tu dis que tu as importé le certificat, peux-tu détailler ? Tu l'as bien fait sur la machine client ?

snap972 · Le 08/06/2013, à 19:22

Bonjour nesthib,
Ok d'accord pour l'AC,

Oui j'ai importé le CRT sur la machine client (cat ma machine physique) mais même sans l'importation je peux quand meme acceder à la page en HTTPS ors
j'aimerais faire en sorte que seule les machines disposant du certificat soit autorisé à y accéder
est-ce possible ?

Merci

nesthib · Le 08/06/2013, à 19:30

Je pense que tu confonds ici authentification du serveur et du client. Ton certificat sert ici à prouver que le serveur est bien celui que tu crois. En aucun cas cela ne te permet de faire une authentification du client, et pour cause : le certificat que tu as installé chez le client est public !

Tu devrais chercher l'inverse, il faut que ton client émette un certificat et que celui ci soit validé par le serveur. Quelque chose du genre (non testé) → http://it.toolbox.com/blogs/securitymon … ates-11500

tiramiseb · Le 09/06/2013, à 11:06

Salut,

En effet, il faut bien faire la différence entre certificat client et certificat serveur.

Un certificat serveur permet aux clients de valider qu'ils s'adressent au serveur voulu.
Un certificat client permet au serveur de valider que la personne voulue s'adresse à lui.

Le hors-série 66 de GLMF traite de ce sujet :
www.ed-diamond.com/produit.php?ref=lmhs66

N'hésite pas à l'acheter, il t'apportera probablement plein de réponses.

PS : ceux qui ont l'impression que je fais plein de pub pour ce numéro pour gagner de l'argent, rassurez-vous : j'ai déjà été payé pour les prestations liées à ce numéro et je ne gagne pas plus s'il s'en vend plus Si j'en parle beaucoup, c'est simplement parce qu'il répond à la plupart des questions à ce sujet !

Dernière modification par tiramiseb (Le 09/06/2013, à 11:08)

snap972 · Le 09/06/2013, à 11:38

Ok je vous remercie pour l'info !

Pseudo supprimé · Le 09/06/2013, à 23:54

tinyca, gnomint, pour gérer tes CA & x509 client et éventuellement tes auto-signés serveurs.

a/pour le x509 serveur, il vaut mieux l'acheter chez ton registrar ... CA légitime

b/pour le x509 client, c'est moins grave. ( vu son aspect très confiné et confidentiel et vu que ton serveur est à la fois "juge et partie " dans l'affaire).
CA perso autosigné et x509 client format le plus souvent pkcs12, .p12. Pour certains usages, il faut parfois décomposer en cert-publc.pem, cert-key.pem à partir du p12.

là, par exemple c'est pour un vhost en 443.

...
	SSLEngine on
	SSLCACertificateFile /etc/.../CA-registrar.pem
	SSLCertificateFile /etc/.../x509serveur.crt
	SSLCertificateKeyFile /etc/.../x509serveur-private.key
	SSLVerifyClient None
	SSLOptions +StrictRequire 
...
	Alias /example "/.../example"
        <Directory "/.../example">
		SSLCACertificateFile /etc/.../CA-perso-x509client.pem
                Options +ExecCGI
                SSLRequireSSL
                SSLVerifyClient require
                SSLVerifyDepth 5
                SSLRequire %{SSL_CLIENT_M_SERIAL} eq "459" and %{SSL_CLIENT_V_REMAIN} >= 0 and %{SSL_CLIENT_S_DN} eq \
"/C=FR/ST=.../L=...../O=.../OU=... /CN=...." \
and %{SSL_CLIENT_I_DN} eq "/C=FR/ST=.../L=.../O=.../OU=.../CN=...\
emailAddress=toto@domain.tld" and ....
        </Directory>
....
CustomLog /var/log/apache2/ssl-x509.log "%t %h  %{SSL_COMPRESS_METHOD}x %{SSL_PROTOCOL}x %{SSL_SERVER_....}x  %{SSL_CLIENT_....}x"

dans le log supplémentaire, tu mets ce que tu veux comme variable SSL (voir Doc Apache). C'est juste un moyen indirect de vérifier ce qui t'intéresse dans le x509 serveur et/ou client.

SSLRequire voir doc . Sert à poser la condition d'accès du client sur serveur. Tu peux exploiter n'importe quelle variable ...

pires57 · Le 10/06/2013, à 00:07

Tant que l'article est de qualité tu peut en faire la pub que tu veut cela ne dérange pas^^

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 08/06/2013, à 13:17

Certificat SSL et Apache

#2 Le 08/06/2013, à 16:34

Re : Certificat SSL et Apache

#3 Le 08/06/2013, à 19:22

Re : Certificat SSL et Apache

#4 Le 08/06/2013, à 19:30

Re : Certificat SSL et Apache

#5 Le 09/06/2013, à 11:06

Re : Certificat SSL et Apache

#6 Le 09/06/2013, à 11:38

Re : Certificat SSL et Apache

#7 Le 09/06/2013, à 23:54

Re : Certificat SSL et Apache

#8 Le 10/06/2013, à 00:07

Re : Certificat SSL et Apache

Pied de page des forums