Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Activer le SSL sur un port différent que le 443
428 views
Skip to first unread message
JUPIN Alain
Oct 21, 2021, 1:00:03 PM10/21/21
to
Bonjour,
Sur une install Debian 10.11 (à jour) avec Apache 2, j'ai un petit soucis avec SSL, que je veux faire écouter sur un port différent, le 8443 au lieu du port standard (443).
Avec l'install de base, quand j'entre dans mon navigateur (Firefox), l'URL du site (sans spécification de port, donc le port standard 443), je tombe sur le "default-ssl", avec un certificat autosigné (donc Firefox rouspète un peu) jusque là OK.
Je configure mon VirtualHost :
<VirtualHost *:8443>
DocumentRoot /var/www/live/
ServerName live.mondomaine.fr
<Directory /var/www/live/>
Options +FollowSymLinks
AllowOverride All
Order allow,deny
Allow from All
</Directory>
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/live.mondomaine.fr/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/live.mondomaine.fr/chain.pem
SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$
</Virtualhost>
Dans ports.conf :
Listen 80
<IfModule ssl_module>
Listen 443
Listen 8443 https
</IfModule>
Je vérifie la config
# apachectl -t
Syntax OK
J'active le nouveau VirtualHost avec a2enssite
Je vais dans mon navigateur et que je demande l'URL https://live.mondomaine.fr:8443/ là j'ai droit à un SSL_ERROR_RX_RECORD_TOO_LONG
Le serveur écoute bien sur le port 8443, mais semble renvoyer du HTTP !
Si je désactive le default-ssl.conf, cela ne change absolument rien !
J'ai beau chercher et tourner les configs dans tous les sens, je passe a coté de quelque chose ... sans doute trivial !
Bref si vous avez une idée ?
Sur une install Debian 10.11 (à jour) avec Apache 2, j'ai un petit soucis avec SSL, que je veux faire écouter sur un port différent, le 8443 au lieu du port standard (443).
Avec l'install de base, quand j'entre dans mon navigateur (Firefox), l'URL du site (sans spécification de port, donc le port standard 443), je tombe sur le "default-ssl", avec un certificat autosigné (donc Firefox rouspète un peu) jusque là OK.
Je configure mon VirtualHost :
<VirtualHost *:8443>
DocumentRoot /var/www/live/
ServerName live.mondomaine.fr
<Directory /var/www/live/>
Options +FollowSymLinks
AllowOverride All
Order allow,deny
Allow from All
</Directory>
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/live.mondomaine.fr/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/live.mondomaine.fr/chain.pem
SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder on
SSLCompression off
SSLOptions +StrictRequire
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$
</Virtualhost>
Dans ports.conf :
Listen 80
<IfModule ssl_module>
Listen 443
Listen 8443 https
</IfModule>
Je vérifie la config
# apachectl -t
Syntax OK
J'active le nouveau VirtualHost avec a2enssite
Je vais dans mon navigateur et que je demande l'URL https://live.mondomaine.fr:8443/ là j'ai droit à un SSL_ERROR_RX_RECORD_TOO_LONG
Le serveur écoute bien sur le port 8443, mais semble renvoyer du HTTP !
Si je désactive le default-ssl.conf, cela ne change absolument rien !
J'ai beau chercher et tourner les configs dans tous les sens, je passe a coté de quelque chose ... sans doute trivial !
Bref si vous avez une idée ?
Philippe
Oct 21, 2021, 5:00:03 PM10/21/21
to
Salut la liste !
Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :
> SSLOptions +StrictRequire
> SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$
car ce sont elles qui posent le plus souvent problème. J'essayerais avec les suites cypher
les moins strictes possibles, puis je les restreindrais petit à petit.
Bonne pioche,
Ph. Gras
Dans un cas comme celui-ci, je réessayerais en commentant ces instructions :
> SSLOptions +StrictRequire
> SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$
les moins strictes possibles, puis je les restreindrais petit à petit.
Bonne pioche,
Ph. Gras
JUPIN Alain
Oct 22, 2021, 3:10:02 AM10/22/21
to
Bonjour,
Merci pour la réponse
Merci pour la réponse
Le 21/10/2021 à 22:44, Philippe a écrit :
SSLOptions +StrictRequire SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-$car ce sont elles qui posent le plus souvent problème. J'essayerais avec les suites cypher les moins strictes possibles, puis je les restreindrais petit à petit. Bonne pioche, Ph. Gras
Je viens de (re)faire le test et cela donne toujours la même erreur
: SSL_ERROR_RX_RECORD_TOO_LONG
Pour info j'ai essayé en laissant uniquement :
Pour info j'ai essayé en laissant uniquement :
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/live.mondomaine.fr/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/live.mondomaine.fr/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/live.mondomaine.fr/chain.pem
et j'ai toujours la même erreur !
De même, j'ai tenté de déclaré le VirtualHost de cette façon : <VirtualHost _default_:8443> sans plus d'effet !
De même, j'ai tenté de déclaré le VirtualHost de cette façon : <VirtualHost _default_:8443> sans plus d'effet !
Greg
Oct 22, 2021, 6:00:02 AM10/22/21
to
Le Thu, 21 Oct 2021 18:43:45 +0200,
JUPIN Alain <aju...@jupin.net> a écrit :
> Dans ports.conf :
> Listen 80
>
> <IfModule ssl_module>
> Listen 443
> Listen 8443 https
> </IfModule>
pourquoi https en plus sur la ligne 8443 ?
JUPIN Alain <aju...@jupin.net> a écrit :
> Dans ports.conf :
> Listen 80
>
> <IfModule ssl_module>
> Listen 443
> Listen 8443 https
> </IfModule>
JUPIN Alain
Oct 22, 2021, 6:00:02 AM10/22/21
to
Bonjour,
Le 22/10/2021 à 11:30, Greg a écrit :
pourquoi https en plus sur la ligne 8443 ?
En lisant ceci : https://httpd.apache.org/docs/2.4/fr/bind.html
section "Spécification du protocole avec Listen" on y lit :
Dans la plupart des configurations, le second paramètre optionnel protocol de la directive Listen n'est pas obligatoire. S'il n'est pas spécifié, les protocoles par défaut sont https pour le port 443, et http pour tous les autres ports. Le protocole sert à déterminer quel module doit traiter une requête, et à appliquer les optimisations spécifiques au protocole via la directive AcceptFilter.
Vous ne devez définir le protocole que si vous travaillez avec des ports non standards. Par exemple, pour travailler en https sur le port 8443
Ceci expliquant donc le second paramètre https, mais si je le supprime, cela ne résous pas mon problème pour autant (je l'avais ajouté justement parce que je pensais que là était le hic)
Dans la plupart des configurations, le second paramètre optionnel protocol de la directive Listen n'est pas obligatoire. S'il n'est pas spécifié, les protocoles par défaut sont https pour le port 443, et http pour tous les autres ports. Le protocole sert à déterminer quel module doit traiter une requête, et à appliquer les optimisations spécifiques au protocole via la directive AcceptFilter.
Vous ne devez définir le protocole que si vous travaillez avec des ports non standards. Par exemple, pour travailler en https sur le port 8443
Ceci expliquant donc le second paramètre https, mais si je le supprime, cela ne résous pas mon problème pour autant (je l'avais ajouté justement parce que je pensais que là était le hic)
f...@choulou.boxathome.net
Oct 23, 2021, 5:50:02 AM10/23/21
to
Bonjour,
Trois questions me viennent à l'esprit :
- y-a-t-il un reverse proxy entre le serveur et le client ?
- que donne le test avec un autre navigateur ?
- que donnent les logs (à mettre en mode debug si possible) du serveur Web (et du reverse proxy s'il y en a un) ?
Trois questions me viennent à l'esprit :
- y-a-t-il un reverse proxy entre le serveur et le client ?
- que donne le test avec un autre navigateur ?
- que donnent les logs (à mettre en mode debug si possible) du serveur Web (et du reverse proxy s'il y en a un) ?
François TOURDE
Oct 23, 2021, 11:50:02 AM10/23/21
to
Le 18923ième jour après Epoch,
f...@choulou.boxathome.net écrivait:
> Bonjour,
>
>
> Trois questions me viennent à l'esprit :
>
> - y-a-t-il un reverse proxy entre le serveur et le client ?
> - que donne le test avec un autre navigateur ?
> - que donnent les logs (à mettre en mode debug si possible) du serveur
> Web (et du reverse proxy s'il y en a un) ?
Je rajouterai une question:
- Que dit curl (avec assez de -v pour qu'il soit bavard) ?
f...@choulou.boxathome.net écrivait:
> Bonjour,
>
>
> Trois questions me viennent à l'esprit :
>
> - y-a-t-il un reverse proxy entre le serveur et le client ?
> - que donne le test avec un autre navigateur ?
> - que donnent les logs (à mettre en mode debug si possible) du serveur
> Web (et du reverse proxy s'il y en a un) ?
- Que dit curl (avec assez de -v pour qu'il soit bavard) ?
Stephane Bortzmeyer
Oct 25, 2021, 7:40:04 AM10/25/21
to
On Sat, Oct 23, 2021 at 05:25:41PM +0200,
François TOURDE <fra-duf...@tourde.org> wrote
navigateur).
PS : SSL a été remplacé par TLS il y a 21 ans (certain·es abonné·es de
cette liste n'étaient pas encore né·es) et a été officiellement
abandonné il y a 6 ans <https://www.bortzmeyer.org/7568.html>.
François TOURDE <fra-duf...@tourde.org> wrote
a message of 17 lines which said:
> Je rajouterai une question:
>
> - Que dit curl (avec assez de -v pour qu'il soit bavard) ?
Oui, très important (on ne teste *pas* un problème HTTPS avec un
> Je rajouterai une question:
>
> - Que dit curl (avec assez de -v pour qu'il soit bavard) ?
navigateur).
PS : SSL a été remplacé par TLS il y a 21 ans (certain·es abonné·es de
cette liste n'étaient pas encore né·es) et a été officiellement
abandonné il y a 6 ans <https://www.bortzmeyer.org/7568.html>.
0 new messages