Virtualhost SSL Apache

Virtualhost SSL Apache

En règle générale, il est impossible d’héberger plus d’un hôte virtuel SSL sur la même adresse IP et le même port. En effet, Apache doit connaître le nom de l’hôte afin de choisir le bon certificat pour configurer la couche de chiffrement. Mais le nom de l’hôte demandé est contenu uniquement dans les en-têtes de requête HTTP, qui font partie du contenu chiffré. Il n’est donc pas disponible avant que le cryptage ne soit déjà négocié. Cela signifie que le certificat correct ne peut pas être sélectionné et que les clients recevront des avertissements de non-concordance de certificat et seront vulnérables aux attaques de l’intercepteur.

En réalité, Apache vous permettra de configurer des hôtes virtuels SSL basés sur le nom, mais il utilisera toujours la configuration du premier hôte virtuel listé (sur l’adresse IP et le port sélectionnés) pour configurer la couche de chiffrement. Dans certaines circonstances spécifiques, il est acceptable d’utiliser une seule configuration SSL pour plusieurs hôtes virtuels. En particulier, cela fonctionnera si le certificat SSL s’applique à tous les hôtes virtuels. Par exemple, cela fonctionnera si:

  1. Tous les VirtualHosts sont dans le même domaine, par exemple: one.example.com et two.example.com.

  2. Vous avez un certificat SSL générique pour ce domaine (un où le nom commun commence par un astérisque: ie * .example.com )

 

 

 

NameVirtualHost *:443
<VirtualHost *:443>
ServerName cert.fabaur.fr
DocumentRoot /var/www/fabblog/cert/
ErrorLog /var/log/httpd/error.log
CustomLog /var/log/httpd/access.log combined
<Directory /var/www/fabblog/cert/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
SSLEngine on
SSLCertificateFile    /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc/pki/tls/ca.key
SSLVerifyClient none
</VirtualHost>

6 commentaires sur “Virtualhost SSL Apache

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Copy This Password *

* Type Or Paste Password Here *