Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-07-2018 17:23:18

Jweffz
Membre
Inscription : 23-07-2018

[Résolu] Erreur SSL. Sous-domaine inaccessible.

Ohla!

Petit soucis avec mon site web et une mise en place de certificat SSL...

J'ai récemment "upgradé" mon certificat SSL gratuit chez 1and1 pour qu'il prenne en compte mes sous-domaines.
J'ai installé ça un peu comme je pouvais sur mon serveur Debian, avec mes faibles connaissances... ça fontionnais plutôt bien! Le nom de domaine principal ainsi que le sous-domaine étaient accessible en HTTPS, mais j'ai du retoucher un ou deux trucs (je ne sais plus quoi  sad:rolleyes:ry: ) et pouf... Le sous-domaine est devenu inaccessible.

Dans le error.log d'apache, j'ai cette ligne:

[ssl:warn] [pid 15841] AH01909: nomdedomaineduserveur.eu:443:0 server certificate does NOT include an ID which matches the server name



Mais je ne suis franchement pas certains que le problème vienne de là. Car ça me paraît normal que le certificat soit invalide pour nomdedomaineduserveur.eu, s'il a été validé pour *.vrainomdedomaine.com et vrainomdedomaine.com... M'enfin j'en sais rien hmm
Bref, c'est le bazar! x)

Le nom de domaine principal est toujours accessible en HTTPS mais pas le sous-domaine... Firefox m'affiche:

SSL_ERROR_INTERNAL_ERROR_ALERT

 

Quand je fait un diagnostic pour le sous-domaine, sur le site Digicert, ça affiche "Unable to connect".
En revanche, un diagnostic avec le domaine principal affiche tout en vert! Tout est OK, le certificat est bien installé pour ce domaine!

J'ai essayé de désactiver le SSL sur le domaine principal, le sous-domaine, les deux en même temps... Et y a toujours la même erreur. C'est assez louche.

Il y a peut-être un poblème de redirection quelque part, je sais pas trop...
Comme ça fonctionnais bien au début et que je n'ai pas fait de changements drastiques, ça doit être tout con... Mais je sais plus quoi essayer.

Je suis sur la dernière version de Debian server, et tout les paquets sont à jour.

Meurci!  smile

Dernière modification par Jweffz (25-07-2018 21:03:53)

Hors ligne

#2 24-07-2018 10:14:13

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Même pas une petite idée..? Un petit test à faire quelque part? ^^

Hors ligne

#3 24-07-2018 11:22:47

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Buster/Sid/Rc-Buggy
Noyau : Linux (≥ 4.12)
(G)UI : i3-wm (≥ 4.13)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Plop,
Si ton certificat est valide pour *.mondomaine.com, il n'est pas pour autant valide pour mondomaine.com.
Lorsque tu crées un certificat, tu dois demander (si c'est possible) à ce qu'il soit valide pour *.mondomaine.com et pour mondomaine.com.
Si ton fournisseur de certificat ne le permet pas, alors tu dois créer deux certificats différents, un pour *.mondomaine.com et un autre pour mondomaine.com.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#4 24-07-2018 13:30:12

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Hello!

Apparemment il est valide pour les deux, *.mondomaine.com et pour mondomaine.com. J'ai vu ça affiché quelque part sur Firefox, dans les détails du certificat, quand tout fonctionnais bien.
Et quand je regarde les détails du certificat maintenant avec Opera (alors que seul https://nomdedomaine.com fonctionne), dans la ligne "autre nom de l'objet", il y a ça:

Nom DNS=*.domaine.com
Nom DNS=domaine.com



Et puis avant ça fonctionnais bien avec les deux domaines, alors je peux être au moins sûr que c'est compatible avec les deux sans avoir à faire d'autres configurations.
Entre temps j'ai réemis un certificat, pour réssayer depuis le début. Je pense pas que ça ait changé grand chose...

Je sèche un peu... ça fait 3 jours que j'essaye tout et n'importe quoi! Mais je suis persuadé que le problème est tout bête.

Hors ligne

#5 24-07-2018 13:36:39

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Il y a une commande pour vérifier quand même qu'il soit valide pour les deux?

Hors ligne

#6 24-07-2018 14:12:25

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

En fait, j'ai trois fichier (fournis par 1and1):

domaine.com_ssl_certificate.cer
-.domaine.com_ssl_certificate_INTERMEDIATE.cer
_.domaine.com_private_key.key

(les trois sont normalement bien introduis dans les deux vhost)

Quand je tape

openssl verifiy -.domaine.com_ssl_certificate_INTERMEDIATE.cer


Il me dit "OK"

Mais avec:

openssl verifiy domaine.com_ssl_certificate.cer


Il me sors l'erreur "error 20 at 0 depth lookup:unable to get local issuer certificate".
J'ai essayé de comprendre ce qu'était cette erreur en fouillant sur internet, mais je n'ai pas tout bien compris...

Hors ligne

#7 24-07-2018 15:57:04

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Buster/Sid/Rc-Buggy
Noyau : Linux (≥ 4.12)
(G)UI : i3-wm (≥ 4.13)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Hello,
Si c'est le même certificat qui est valide pour le *.domaine et pour domaine, alors c'est le même fichier, qu'il te faut utiliser.
Tu peux nous montrer le contenu de tes vhost apache2, et nous dire ce qui marche et ce qui ne marche pas ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 24-07-2018 22:07:04

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Voici le .conf (géré en partie avec Webmin) du domaine qui fonctionne:

<VirtualHost domaine.com:443>
DocumentRoot /home/dossier1
ServerAdmin XXXXX@gmail.com
<Directory /var/www/html/dossier1>
AllowOverride All
Allow from All
</Directory>
SSLEngine on
SSLCertificateFile /etc/apache2/sites-available/domaine.com_ssl_certificate.cer
SSLCertificateKeyFile /etc/apache2/sites-available/_.domaine.com_private_key.key
SSLCACertificateFile /etc/apache2/sites-available/-.domaine.com_ssl_certificate_INTERMEDIATE.cer
Redirect domaine.com "https://domaine.com"
Redirect http://domaine.com "https://domaine.com"
Redirect http://domaineDuServeurOVH.eu/dossier1/ "https://domaine.com"
Redirect http://www.domaine.com "https://domaine.com"
Redirect www.domaine.com "https://domaine.com"
<Directory "/home/dossier1">
allow from all
Options None
Require all granted
</Directory>
SSLProtocol +TLSv1.1 +TLSv1.2
ServerName domaine.com
</VirtualHost>




Et le .conf de celui qui ne fonctionne pas:

<VirtualHost portfolio.domaine.com:443>
DocumentRoot /home/dossier2
ServerAdmin XXXXX@gmail.com
<Directory /var/www/html/dossier2>
AllowOverride All
Allow from All
</Directory>
SSLEngine on
SSLCertificateFile /etc/apache2/sites-available/domaine.com_ssl_certificate.cer
SSLCertificateKeyFile /etc/apache2/sites-available/_.domaine.com_private_key.key
SSLCACertificateFile /etc/apache2/sites-available/-.domaine.com_ssl_certificate_INTERMEDIATE.cer
Redirect portfolio.domaine.com "https://portfolio.domaine.com"
Redirect http://portfolio.domaine.com "https://portfolio.domaine.com"
Redirect http://domaineDuServeurOVH.eu/dossier2/ "https://portfolio.domaine.com"
Redirect http://www.portfolio.domaine.com "https://portfolio.domaine.com"
Redirect www.portfolio.domaine.com "https://portfolio.domaine.com"
<Directory "/home/dossier2">
allow from all
Options None
Require all granted
</Directory>
SSLProtocol +TLSv1.1 +TLSv1.2
ServerName portfolio.domaine.com
</VirtualHost>




Il y a sûrement des choses pas optimisées...


Ce que je peux dire de plus:

Quand je vais sur httpS://domaineDuServeurOVH.eu/dossier2/ (qui est l'url d'origine, redirigé vers portfolio.domaine.com), ça affiche la page qui demande d'ajouter une exception pour le certificat ("le certificat n'est valide que pour les noms suivant: *.domaine.com et domaine.com). Et quand je le fais, je tombe sur la page blanche " 404 Page not found". Alors que tout mes autres sous-domaine non sécurisé sont, eux, accessibles.
Mais j'ai pas l'impression que ce soit important, puisque de toute façon le certificat n'est pas validé pour ce domaine. Mais c'est peut-être une info utile, je sais pas...

Sur 1and1, la redirection de portfolio.domaine.com se fait en direction de http://domaineDuServeurOVH.eu/dossier2/

Et... j'ai sûrement d'autres infos à partager, mais là maintenant je ne vois pas lesquelles! ^^

Dernière modification par Jweffz (24-07-2018 22:09:05)

Hors ligne

#9 24-07-2018 22:14:06

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Buster/Sid/Rc-Buggy
Noyau : Linux (≥ 4.12)
(G)UI : i3-wm (≥ 4.13)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Tu n'as pas de fichier _.domaine.com_ssl_certificate.cer ?

Le nom d'hôte ne devrait pas apparaître dans « <VirtualHost portfolio.domaine.com:443> » il faut mettre « <VirtualHost *:443> » (idem pour le vhost de domaine.com), c'est la commande ServerName portfolio.domaine.com qui indique à quel nom d'hôte est associé le vhost.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#10 24-07-2018 23:16:06

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Non je n'ai pas ce fichier. Mais si c'est la question... Le précédent certificat que j'utilisais uniquement et seulement pour domaine.com (avant d'upgrader, donc), se nommait www.domaine.com_ssl_certificate.cer

Merci pour l'info! C'est top! Car j'essaye d'appliquer le SSL sur un autre sous-domaine depuis le départ, pour voir... Et retirer le nom d'hôte sur la première ligne m'a permis d'afficher la page correctement!
Et donc, ça fonctionne avec cet autre sous-domaine... Mais, même si je suis bien en https, il y a quand même le message "Votre connexion à ce site n'est pas totalement sécurisée", qui s'affiche. ça pourrait venir d'où?
Je me souviens avoir réussi à régler ce problème au tout départ quand tout fonctionnais, mais je ne sais plus comment... hmm

Après ça, je pense repartir de zéro avec le sous-domaine qui bug, en effaçant les .conf et en faisant tout de nouveau.

Hors ligne

#11 24-07-2018 23:36:20

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Jweffz a écrit :


...
Et donc, ça fonctionne avec cet autre sous-domaine... Mais, même si je suis bien en https, il y a quand même le message "Votre connexion à ce site n'est pas totalement sécurisée", qui s'affiche. ça pourrait venir d'où?
...



C'est bon, j'ai trouvé! C'était sûrement des images qui n'était pas en https, du "mixed content"... Donc j'ai tout mis en https et tout est 100% sécuriés maintenant.
Mais bon, ça c'était pour le second sous-domaine de test!

Reste encore à faire fonctionner le premier... kernal_panic.gif

Hors ligne

#12 25-07-2018 08:58:49

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Buster/Sid/Rc-Buggy
Noyau : Linux (≥ 4.12)
(G)UI : i3-wm (≥ 4.13)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Youpi smile
Bah, a priori, pour le premier sous-domaine, la config SSL devrait être la même que pour le deuxième smile
Les DNS sont ok ? Il n'y a pas de CDN au milieu ?

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#13 25-07-2018 11:09:12

Jweffz
Membre
Inscription : 23-07-2018

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.

Yes, j'ai en effet tout reconfiguré exactement de la même façon.

Etonnamment, les DNS n'étaient pas bien configurés pour ce sous-domaine sur 1and1! Bien vu! Merci! (maintenant je sais que c'était ça qui avais été modifié pour essayer... avant de tout dézinguer big_smile  ).
Et maintenant... Tout fonctionne bien pour le moment!

Un gros merci à toi pour le coup de main!

Hors ligne

#14 25-07-2018 15:59:43

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Buster/Sid/Rc-Buggy
Noyau : Linux (≥ 4.12)
(G)UI : i3-wm (≥ 4.13)
Inscription : 07-07-2008
Site Web

Re : [Résolu] Erreur SSL. Sous-domaine inaccessible.


captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

Pied de page des forums