Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 21/08/2021, à 14:24

neokal

Questions mise en place certificat SSL pour passage en HTTPS mediaWiki

Bonjour à tous,

J'ai depuis un moment un wiki maison sur HTTP (basé sur projet media wiki) que je souhaite basculé ma publication en HTTPS.
J'ai bien réussi à "fabriquer" mon certificat maison et je l'ai bien installé sur mon apache (il y a une exception de sécurité à valider sur le navigateur car c'est de l'auto signé si j'ai bien compris).

Le soucis c'est que mediawiki utilise parsoid pour l'utilisation de son Visual Editor (quand on clique sur le bouton "modifier").
Et depuis mon passage en HTTPS j'ai une erreur quand je lance le media editor (parsoid) via le bouton "modifier" :

Error contacting the Parsoid/RESTBase server: (curl error: 60) SSL peer certificate or SSH remote key was not OK

Je pense que c'est lié au fait que mon certificat est "auto signé" mais je ne connais pas vraiment l'univers des certificats.
J'ai deux pistes de réflexions :

  1. J'ai trouvé des infos parlant du fichier php.ini avec la ligne de configuration (dans la balise [curl])

    curl.cainfo = "/etc/ssl/certs/certificate.crt"

    et il y a également la balise [openssl] avec la ligne :

    openssl.cafile="/etc/ssl/certs/certificate.crt"

  2. J'ai mis à jour le magasin de l'OS comme suit :

    sudo cp certificate.crt /usr/local/share/ca-certificates/ 
sudo update-ca-certificates

J'ai également essayé les conversions du format x509 -> pem sans succès.
J'ai essayé plusieurs génération de certificat également...
Bref j'ai un peu tout essayé et je n'ai pas plus d'idées que celles là..

Quelqu'un a déjà eu ce soucis ou similaire ?
Une piste de réflexions ?

Dernière modification par neokal (Le 21/08/2021, à 14:25)

Celui qui se transforme en bête se délivre de la douleur d'être un homme...

Hors ligne

#2 Le 21/08/2021, à 15:08

neokal

Re : Questions mise en place certificat SSL pour passage en HTTPS mediaWiki

En complément d'info si j'attaque depuis le serveur himself avec la commande

curl https://monwiki

j'ai une erreur :

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Fonctionne par contre très bien avec 

curl -k https://monwiki

J'ai du coup trouvé un premier éléments de réponse, dans le fichier de config .../wiki/includes/libs/http/MultiHttpClient.php
juste aprés l'initialisation de l'objet curl

$ch = curl_init();

J'ajoute la configuration 

curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);

qui ajoute l'option -k et qui consiste à ne pas vérifier le statut du certificat SSL.

Je n'aime pas trop ça car j'ignore dans quel mesure ça peut compromettre ou pas la sécurité de mon mediaWiki, J'ai envie de penser que non car la commande curl est lancé depuis le serveur vers lui-même (certes par le truchement d'un utilisateur web).

Si quelqu'un a des éléments de réponse je suis preneur.

Dernière modification par neokal (Le 21/08/2021, à 15:09)

Celui qui se transforme en bête se délivre de la douleur d'être un homme...

Hors ligne

#3 Le 22/08/2021, à 10:17

bruno

Re : Questions mise en place certificat SSL pour passage en HTTPS mediaWiki

Bonjour,

La réponse à ton problème est dans la question :

il y a une exception de sécurité à valider sur le navigateur car c'est de l'auto signé

Un certificat auto-signé générera toujours une alerte que tu devras d'un manière ou d'une autre ignorer.

La sécurité apporté par HTTPS concerne uniquement les échanges entre le client et le serveur sur un réseau public. Sur la machine locale ou sur un réseau privée isolé de l'Internet, cela n'a pas vraiment d'utilité.

#4 Le 22/08/2021, à 11:18

neokal

Re : Questions mise en place certificat SSL pour passage en HTTPS mediaWiki

Bonjour et merci pour ce retour,
Oui je comprend bien cette problématique inhérent au certificat auto-signé.
Il n'y a pas de pb pour la connexion (une fois exception confirmée), c'est uniquement l'éditeur de page qui botte en erreur (il repose sur curl apparemment, mais de ce que j'en comprend c'est un bouclage local sur le serveur lui-même).

Mon interrogation était surtout pourquoi j'ai toujours une erreur alors que j'ai bien ajouter le certificat à mon "magasin" local ?
Ou savoir s'il existe un moyen d'indiquer le certificat en manuel (via PHP), il y a bien la variable :

class MultiHttpClient -> protected $caBundlePath;

Qui semble correspondre à ce pointage mais j'ignore comment la configurer proprement.

Celui qui se transforme en bête se délivre de la douleur d'être un homme...

Hors ligne

Pages : 1