Création d’un certificat MultiFQDN – Apache2

SSL_CA_UNE_TB

L’article date de 2011, à l’époque je souhaitais mettre plusieurs sites en HTTPS sur mon serveur Apache2 avec avec plusieurs sous domaine ec0.fr.

Après différentes recherches je suis tombé sur la conclusion suivante :

Si le serveur n’a qu’une seule adresse ipv4, on ne peut utiliser qu’un seul certificat SSL.

Il est cependant possible de sécuriser plusieurs sites différents avec le même certificat SSL en utilisant la directive subjectAltName lors de la génération du certificat.


Cf documentation :

http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr

Avec cette méthode cela règlera les problèmes de certificat sur tous les navigateurs et cela restera conforme à la RFC 2818 (« HTTP Over TLS ») section 3.1.

Différents sites font part d’une solution de contournement autre que l’utilisation de la directive subjectAltName en utilisant  le module GNUTLS

Source :

http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

http://blog.gaetan-grigis.eu/systeme/administration/utiliser-plusieurs-certificats-ssl-sur-un-seul-serveur-apache/

Je me suis dis qu’il s’agissait de quelques choses d’intéressant qui méritait d’être partagé.

J’ai donc retenu la méthode 1 qui est en mon sens adaptée à mon utilisation (usage personnel et utilisation de certificat auto signé).

Ajout de la directive subjectAltName :

Création du dossier de sortie de notre nouveau certificat :

Génération du certificat :

Il vous sera demandé les détails du certificat, il faut mettre en CN un nom générique, dans notre exemple on choisira www.ec0.fr.

On obtient dans le répertoire de travail 2 fichiers “newkey.pem” et “newreq.pem”.

Nous avons encore notre mot de passe principal inclus dans notre certificat, cela peut être bloquant pour les applications qui se lancent au démarrage de votre système.

Nous devons donc  enlever ce mot de passe du certificat, pour cela rien de plus simple il suffit d’utiliser la commande suivante :

Le mot de passe vous sera demandé une dernière fois et cela génèrera un fichier .pem sans mot de passe.

Signature du certificat :

Cette action permet de signer le certificat avec l’autorité de certification et génère un fichier “newcert.pem” dans le répertoire de travail, le mot de passe du CA vous sera demandé encore une dernière fois.

Fichier de sortie :

On retrouve bien nos deux noms DNS :

X509v3 Subject Alternative Name:

DNS:svn.ec0.fr, DNS:xmarks.ec0.fr

Erreurs possibles :

Si comme moi vous vous être craqué dans la génération et que lorsque que vous recommencer vous avez le message d’erreur plus haut « don’t worry » c’est normal. Par défaut openssl ne supporte pas la signature de plusieurs certificats ayant exactement les mêmes paramètres, pour palier cela, là encore rien de compliqué (on est sous Linux)

Effacer la ligne correspondant à votre essai infructueux dans le fichier /root/AutoriteCA/index.txt

Facile non et recommencer la demande de signature de votre certificat.

Flori@n

Moi c'est Florian, j'ai 32 ans. J'ai découvert l'informatique à 17 ans et eu ma première connexion Internet à 23 ans. On ne va donc pas dire que j'ai été très précoce dans ce domaine... Quoiqu'il en soit, depuis je passe en moyenne 8 heures par jour sur un PC et ce qui est assez bizarre c'est que j'aime ça et j'en redemande le soir et le week-end. Je suis donc quelqu'un de bizarre, mais je n'ai aucun problème avec ça !!!

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :