summaryrefslogtreecommitdiffstats
path: root/docs/manual/ssl/ssl_faq.html.fr
blob: bf594efc4028a9e5a22473ea033094fed22f5e51 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
1001
1002
1003
1004
1005
1006
1007
1008
1009
1010
1011
1012
1013
1014
1015
1016
1017
1018
1019
1020
1021
1022
1023
1024
1025
1026
1027
1028
1029
1030
1031
1032
1033
1034
1035
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
              This file is generated from xml source: DO NOT EDIT
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      -->
<title>Chiffrement SSL/TLS fort: foire aux questions - Serveur Apache HTTP Version 2.5</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>

<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body id="manual-page"><div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.5</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">SSL/TLS</a></div><div id="page-content"><div id="preamble"><h1>Chiffrement SSL/TLS fort: foire aux questions</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/ssl/ssl_faq.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/ssl/ssl_faq.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div>

<blockquote>
<p>Le sage n'apporte pas de bonnes r&#233;ponses, il pose les bonnes questions</p>
<p class="cite">-- <cite>Claude Levi-Strauss</cite></p>

</blockquote>
</div>
<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#installation">Installation</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#aboutconfig">Configuration</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#aboutcerts">Certificats</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#aboutssl">Le protocole SSL</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#support">Support de mod_ssl</a></li>
</ul><h3>Voir aussi</h3><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="installation" id="installation">Installation</a><a title="Lien permanent" href="#installation" class="permalink">&para;</a></h2>
<ul>
<li><a href="#mutex">Pourquoi le d&#233;marrage d'Apache provoque-t-il des
erreurs de permission en rapport avec SSLMutex ?</a></li>
<li><a href="#entropy">Pourquoi mod_ssl s'arr&#234;te-t-il avec l'erreur
"Failed to generate temporary 512 bit RSA private key" au d&#233;marrage
d'Apache ?</a></li>
</ul>

<h3><a name="mutex" id="mutex">Pourquoi le d&#233;marrage d'Apache provoque-t-il des
erreurs de permission en rapport avec SSLMutex ?</a></h3>
    <p>Des erreurs telles que ``<code>mod_ssl: Child could not open
    SSLMutex lockfile /opt/apache/logs/ssl_mutex.18332 (avec l'erreur
    syst&#232;me qui suit) [...] System: Permission denied (errno: 13)</code>''
    sont souvent provoqu&#233;es par des permissions trop restrictives sur les
    r&#233;pertoires <em>parents</em>. Assurez-vous que tous les r&#233;pertoires
    parents (ici <code>/opt</code>, <code>/opt/apache</code> et
    <code>/opt/apache/logs</code>) ont le bit x positionn&#233; au moins pour
    l'UID sous lequel les processus enfants d'Apache s'ex&#233;cutent (voir la
    directive <code class="directive"><a href="../mod/mod_unixd.html#user">User</a></code>).</p>


<h3><a name="entropy" id="entropy">Pourquoi mod_ssl s'arr&#234;te-t-il avec l'erreur
"Failed to generate temporary 512 bit RSA private key" au d&#233;marrage
d'Apache ?</a></h3>
    <p>Pour fonctionner correctement, les logiciels de cryptographie ont
    besoin d'une source de donn&#233;es al&#233;atoires. De nombreux syst&#232;mes
    d'exploitation libres proposent un "p&#233;riph&#233;rique source d'entropie"
    qui fournit ce service (il se nomme en g&#233;n&#233;ral
    <code>/dev/random</code>). Sur d'autres syst&#232;mes, les applications
    doivent amorcer manuellement
    le G&#233;n&#233;rateur de Nombres Pseudo-Al&#233;atoires d'OpenSSL
    (Pseudo Random Number Generator -PRNG) &#224; l'aide de donn&#233;es appropri&#233;es
    avant de g&#233;n&#233;rer des cl&#233;s ou d'effectuer un chiffrement &#224; cl&#233;
    publique. Depuis la version 0.9.5, les fonctions d'OpenSSL qui n&#233;cessitent
    des donn&#233;es al&#233;atoires provoquent une erreur si le PRNG n'a pas &#233;t&#233; amorc&#233;
    avec une source de donn&#233;es al&#233;atoires d'au moins 128 bits.</p>
    <p>Pour &#233;viter cette erreur, <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> doit fournir
    suffisamment d'entropie au PRNG pour lui permettre de fonctionner
    correctement. Ce niveau d'entropie est d&#233;fini par la directive
    <code class="directive"><a href="../mod/mod_ssl.html#sslrandomseed">SSLRandomSeed</a></code>.</p>

</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="aboutconfig" id="aboutconfig">Configuration</a><a title="Lien permanent" href="#aboutconfig" class="permalink">&para;</a></h2>
<ul>
<li><a href="#parallel">Peut-on faire cohabiter HTTP et HTTPS sur le m&#234;me
serveur ?</a></li>
<li><a href="#ports">Quel port HTTPS utilise-t-il ?</a></li>
<li><a href="#httpstest">Comment s'exprimer en langage HTTPS &#224; des fins
de test ?</a></li>
<li><a href="#hang">Pourquoi la communication se bloque-t-elle lorsque je
me connecte &#224; mon serveur Apache configur&#233; pour SSL ?</a></li>
<li><a href="#refused">Pourquoi, lorsque je tente d'acc&#233;der en HTTPS &#224; mon
serveur Apache+mod_ssl fra&#238;chement install&#233;, l'erreur ``Connection Refused''
s'affiche-t-elle ?</a></li>
<li><a href="#envvars">Pourquoi les variables <code>SSL_XXX</code>
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?</a></li>
<li><a href="#relative">Comment puis-je basculer entre les protocoles HTTP et
HTTPS dans les hyperliens relatifs ?</a></li>
</ul>

<h3><a name="parallel" id="parallel">Peut-on faire cohabiter HTTP et HTTPS sur le m&#234;me
serveur ?</a></h3>
    <p>Oui. HTTP et HTTPS utilisent des ports diff&#233;rents (HTTP &#233;coute le port
    80 et HTTPS le port 443), si bien qu'il n'y a pas de conflit direct entre
    les deux. Vous pouvez soit ex&#233;cuter deux instances s&#233;par&#233;es du serveur,
    chacune d'entre elles &#233;coutant l'un de ces ports, soit utiliser l'&#233;l&#233;gante
    fonctionnalit&#233; d'Apache que constituent les h&#244;tes virtuels pour cr&#233;er
    deux serveurs virtuels g&#233;r&#233;s par la m&#234;me instance d'Apache - le
    premier serveur r&#233;pondant en HTTP aux requ&#234;tes sur le port 80,
    le second r&#233;pondant en HTTPS aux requ&#234;tes sur le port
    443.</p>


<h3><a name="ports" id="ports">Quel port HTTPS utilise-t-il ?</a></h3>
<p>Vous pouvez associer le protocole HTTPS &#224; n'importe quel port, mais le port
standard est le port 443, que tout navigateur compatible HTTPS va utiliser par
d&#233;faut. Vous pouvez forcer votre navigateur &#224; utiliser un port diff&#233;rent en le
pr&#233;cisant dans l'URL. Par exemple, si votre serveur est configur&#233; pour
servir des pages en HTTPS sur le port 8080, vous pourrez y acc&#233;der par
l'adresse <code>https://example.com:8080/</code>.</p>


<h3><a name="httpstest" id="httpstest">Comment s'exprimer en langage HTTPS &#224; des fins
de test ?</a></h3>
 <p>Alors que vous utilisez simplement</p>

    <div class="example"><p><code>$ telnet localhost 80<br />
    GET / HTTP/1.0</code></p></div>

    <p>pour tester facilement Apache via HTTP, les choses ne sont pas si
    simples pour HTTPS &#224; cause du protocole SSL situ&#233; entre TCP et HTTP.
    La commande OpenSSL <code>s_client</code> vous permet cependant
    d'effectuer un test similaire via HTTPS :</p>

    <div class="example"><p><code>$ openssl s_client -connect localhost:443 -state -debug<br />
    GET / HTTP/1.0</code></p></div>

    <p>Avant la v&#233;ritable r&#233;ponse HTTP, vous recevrez des informations
    d&#233;taill&#233;es &#224; propos de l'&#233;tablissement de la connexion SSL. Si vous
    recherchez un client en ligne de commande &#224; usage plus g&#233;n&#233;ral qui comprend
    directement HTTP et HTTPS, qui peut effectuer des op&#233;rations GET et POST,
    peut utiliser un mandataire, supporte les requ&#234;tes portant sur une partie
    d'un fichier (byte-range), etc..., vous devriez vous tourner vers
    l'excellent outil <a href="http://curl.haxx.se/">cURL</a>. Gr&#226;ce &#224; lui,
    vous pouvez v&#233;rifier si Apache r&#233;pond correctement aux requ&#234;tes via
    HTTP et HTTPS comme suit :</p>

    <div class="example"><p><code>$ curl http://localhost/<br />
    $ curl https://localhost/</code></p></div>


<h3><a name="hang" id="hang">Pourquoi la communication se bloque-t-elle lorsque je
me connecte &#224; mon serveur Apache configur&#233; pour SSL ?</a></h3>
<p>Ceci peut arriver si vous vous connectez &#224; un serveur HTTPS (ou &#224;
un serveur virtuel) via HTTP (par exemple, en utilisant
<code>http://example.com/</code> au lieu de <code>https://example.com</code>).
Cela peut aussi arriver en essayant de vous connecter via HTTPS &#224; un
serveur HTTP (par exemple, en utilisant <code>https://example.com/</code>
avec un serveur qui ne supporte pas HTTPS, ou le supporte, mais sur un
port non standard). Assurez-vous que vous vous connectez bien &#224; un
serveur (virtuel) qui supporte SSL.</p>


<h3><a name="refused" id="refused">Pourquoi, lorsque je tente d'acc&#233;der en HTTPS &#224; mon
serveur Apache+mod_ssl fra&#238;chement install&#233;, l'erreur ``Connection Refused''
s'affiche-t-elle ?</a></h3>
<p>Une configuration incorrecte peut provoquer ce type d'erreur.
Assurez-vous que vos directives <code class="directive"><a href="../mod/mpm_common.html#listen">Listen</a></code> s'accordent avec vos directives
    <code class="directive"><a href="../mod/core.html#virtualhost">&lt;VirtualHost&gt;</a></code>. Si
    l'erreur persiste, recommencez depuis le d&#233;but en restaurant la
    configuration par d&#233;faut fournie par<code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>.</p>


<h3><a name="envvars" id="envvars">Pourquoi les variables <code>SSL_XXX</code>
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?</a></h3>
<p>Assurez-vous que la directive ``<code>SSLOptions +StdEnvVars</code>'' est
bien pr&#233;sente dans le contexte de vos requ&#234;tes CGI/SSI.</p>


<h3><a name="relative" id="relative">Comment puis-je basculer entre les protocoles HTTP et
HTTPS dans les hyperliens relatifs ?</a></h3>

<p>Normalement, pour basculer entre HTTP et HTTPS, vous devez utiliser des
hyperliens pleinement qualifi&#233;s (car vous devez modifier le sch&#233;ma de l'URL).
Cependant, &#224; l'aide du module <code class="module"><a href="../mod/mod_rewrite.html">mod_rewrite</a></code>, vous pouvez
manipuler des hyperliens relatifs, pour obtenir le m&#234;me effet.</p>
    <pre class="prettyprint lang-config">RewriteEngine on
RewriteRule   "^/(.*)_SSL$"   "https://%{SERVER_NAME}/$1" [R,L]
RewriteRule   "^/(.*)_NOSSL$" "http://%{SERVER_NAME}/$1"  [R,L]</pre>


    <p>Ce jeu de r&#232;gles rewrite vous permet d'utiliser des hyperliens de la
    forme <code>&lt;a href="document.html_SSL"&gt;</code> pour passer en HTTPS
    dans les liens relatifs. (Remplacez SSL par NOSSL pour passer en HTTP.)</p>

</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="aboutcerts" id="aboutcerts">Certificats</a><a title="Lien permanent" href="#aboutcerts" class="permalink">&para;</a></h2>
<ul>
<li><a href="#keyscerts">Qu'est-ce qu'un cl&#233; priv&#233;e RSA, un certificat,
une demande de signature de certificat (CSR) ?</a></li>
<li><a href="#startup">Y a-t-il une diff&#233;rence au d&#233;marrage entre un serveur
Apache non SSL et un serveur Apache supportant SSL ?</a></li>
<li><a href="#selfcert">Comment cr&#233;er un certificat auto-sign&#233; SSL &#224; des
fins de test ?</a></li>
<li><a href="#realcert">Comment cr&#233;er un vrai certificat SSL ?</a></li>
<li><a href="#ownca">Comment cr&#233;er et utiliser sa propre Autorit&#233; de
certification (CA) ?</a></li>
<li><a href="#passphrase">Comment modifier le mot de passe
de ma cl&#233; priv&#233;e ?</a></li>
<li><a href="#removepassphrase">Comment d&#233;marrer Apache sans avoir &#224; entrer de
mot de passe ?</a></li>
<li><a href="#verify">Comment v&#233;rifier si une cl&#233; priv&#233;e correspond bien
&#224; son certificat ?</a></li>
<li><a href="#pemder">Comment convertir un certificat du format PEM
au format DER ?</a></li>
<li><a href="#gid">Pourquoi les navigateurs se plaignent-ils de ne pas pouvoir
v&#233;rifier mon certificat de serveur ?</a></li>
</ul>

<h3><a name="keyscerts" id="keyscerts">Qu'est-ce qu'un cl&#233; priv&#233;e RSA, un certificat,
une demande de signature de certificat (CSR) ?</a></h3>
<p>Un fichier de cl&#233; priv&#233;e RSA est un fichier num&#233;rique que vous pouvez
utiliser pour d&#233;chiffrer des messages que l'on vous a envoy&#233;s. Il a son
pendant &#224; caract&#232;re public que vous pouvez distribuer (par le biais de votre
certificat), ce qui permet aux utilisateurs de chiffrer les messages qu'ils
vous envoient.</p>
    <p>Une Demande de Signature de Certificat (CSR) est un fichier num&#233;rique
    qui contient votre cl&#233; publique et votre nom. La CSR doit &#234;tre envoy&#233;e &#224;
    une Autorit&#233; de Certification (CA), qui va la convertir en vrai certificat
    en la signant.</p>
    <p>Un certificat contient votre cl&#233; publique RSA, votre nom, le nom
    de la CA, et est sign&#233; num&#233;riquement par cette derni&#232;re. Les navigateurs
    qui reconnaissent la CA peuvent v&#233;rifier la signature du certificat, et
    ainsi en extraire votre cl&#233; publique RSA. Ceci leur permet de vous envoyer
    des messages chiffr&#233;s que vous seul pourrez d&#233;chiffrer.</p>
    <p>Se r&#233;f&#233;rer au chapitre <a href="ssl_intro.html">Introduction</a>
    pour une description g&#233;n&#233;rale du protocole SSL.</p>


<h3><a name="startup" id="startup">Y a-t-il une diff&#233;rence au d&#233;marrage entre un serveur
Apache non SSL et un serveur Apache supportant SSL ?</a></h3>
<p>Oui. En g&#233;n&#233;ral, avec ou sans <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> int&#233;gr&#233;, le d&#233;marrage
d'Apache ne pr&#233;sente pas de diff&#233;rences. Cependant, si votre fichier de cl&#233;
priv&#233;e SSL poss&#232;de un mot de passe, vous devrez le taper au d&#233;marrage
d'Apache.</p>

    <p>Devoir entrer manuellement le mot de passe au d&#233;marrage du serveur peut
    poser quelques probl&#232;mes - par exemple, quand le serveur est d&#233;marr&#233; au
    moyen de scripts au lancement du syst&#232;me. Dans ce cas, vous pouvez suivre
    les &#233;tapes <a href="#removepassphrase">ci-dessous</a> pour supprimer le
    mot de passe de votre cl&#233; priv&#233;e. Gardez &#224; l'esprit qu'agir ainsi augmente
    les risques de s&#233;curit&#233; - agissez avec pr&#233;caution !</p>


<h3><a name="selfcert" id="selfcert">Comment cr&#233;er un certificat auto-sign&#233; SSL &#224; des
fins de test ?</a></h3>
    <ol>
    <li>V&#233;rifiez qu'OpenSSL est install&#233; et l'ex&#233;cutable openssl dans votre
    <code>PATH</code>.<br />
    <br />
    </li>
    <li>Ex&#233;cuter la commande suivante pour cr&#233;er les fichiers
    <code>server.key</code> et <code>server.crt</code> :<br />
	<code><strong>$ openssl req -new -x509 -nodes -out server.crt
			-keyout server.key</strong></code><br />
	Ces fichiers seront utilis&#233;s comme suit dans votre
	<code>httpd.conf</code> :
        <pre class="prettyprint lang-config">SSLCertificateFile    /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key</pre>

    </li>
    <li>Il est important de savoir que le fichier <code>server.key</code> n'a
    <em>pas</em> de mot de passe. Pour ajouter un mot de passe &#224; la cl&#233;, vous
    devez ex&#233;cuter la commande suivante et confirmer le mot de passe comme
    demand&#233;.<br />
	<p><code><strong>$ openssl rsa -des3 -in server.key -out
	server.key.new</strong></code><br />
	<code><strong>$ mv server.key.new server.key</strong></code><br /></p>
	Sauvegardez le fichier <code>server.key</code> ainsi que son mot de
	passe en lieu s&#251;r.
    </li>
    </ol>


<h3><a name="realcert" id="realcert">Comment cr&#233;er un vrai certificat SSL ?</a></h3>
<p>Voici la marche &#224; suivre pas &#224; pas :</p>
    <ol>
    <li>Assurez-vous qu'OpenSSL est bien install&#233; et dans votre <code>PATH</code>.
    <br />
    <br />
    </li>
    <li>Cr&#233;ez une cl&#233; priv&#233;e RSA pour votre serveur Apache
    	(elle sera au format PEM et chiffr&#233;e en Triple-DES):<br />
       <br />
       <code><strong>$ openssl genrsa -des3 -out server.key 2048</strong></code><br />
       <br />
       Enregistrez le fichier <code>server.key</code> et le mot de passe
       &#233;ventuellement d&#233;fini en lieu s&#251;r.
       Vous pouvez afficher les d&#233;tails de cette cl&#233; priv&#233;e RSA &#224; l'aide de la
       commande :<br />

       <br />
       <code><strong>$ openssl rsa -noout -text -in server.key</strong></code><br />
       <br />
       Si n&#233;cessaire, vous pouvez aussi cr&#233;er une version PEM non chiffr&#233;e
       (non recommand&#233;) de cl&#233; priv&#233;e RSA avec :<br />
       <br />
       <code><strong>$ openssl rsa -in server.key -out server.key.unsecure</strong></code><br />
       <br />

    </li>
    <li>Cr&#233;ez une Demande de signature de Certificat (CSR) &#224; l'aide de la
    cl&#233; priv&#233;e pr&#233;c&#233;demment g&#233;n&#233;r&#233;e (la sortie sera au format PEM):<br />
       <br />
       <code><strong>$ openssl req -new -key server.key -out server.csr</strong></code><br />
       <br />
       Vous devez entrer le Nom de Domaine Pleinement Qualifi&#233;
       ("Fully Qualified Domain Name" ou FQDN) de votre serveur lorsqu'OpenSSL
       vous demande le "CommonName", c'est &#224; dire que si vous g&#233;n&#233;rez une CSR
       pour un site web auquel on acc&#232;dera par l'URL
       <code>https://www.foo.dom/</code>, le FQDN sera "www.foo.dom". Vous
       pouvez afficher les d&#233;tails de ce CSR avec :<br />

       <br />
       <code><strong>$ openssl req -noout -text -in server.csr</strong></code><br />
       <br />
    </li>
    <li>Vous devez maintenant envoyer la CSR &#224; une Autorit&#233; de Certification
    (CA), afin que cette derni&#232;re puisse la signer. Une fois la CSR sign&#233;e,
    vous disposerez d'un v&#233;ritable certificat que vous pourrez utiliser avec
    Apache. Vous pouvez faire signer votre CSR par une CA commerciale ou par
    votre propre CA.<br />
       Les CAs commerciales vous demandent en g&#233;n&#233;ral de leur envoyer la CSR
       par l'interm&#233;diaire d'un formulaire web, de r&#233;gler le montant de la
       signature, puis vous envoient un certificat sign&#233; que vous pouvez
       enregistrer dans un fichier server.crt.

       Pour plus de d&#233;tails sur la mani&#232;re de cr&#233;er sa propre CA, et de
       l'utiliser pour signer une CSR, voir <a href="#ownca">ci-dessous</a>.<br />

       Une fois la CSR sign&#233;e, vous pouvez afficher les d&#233;tails du certificat
       comme suit :<br />
       <br />
       <code><strong>$ openssl x509 -noout -text -in server.crt</strong></code><br />

    </li>
    <li>Vous devez maintenant disposer de deux fichiers :
    <code>server.key</code> et <code>server.crt</code>. Ils sont pr&#233;cis&#233;s dans
    votre fichier <code>httpd.conf</code> comme suit :
       <pre class="prettyprint lang-config">SSLCertificateFile    /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key</pre>

       Le fichier <code>server.csr</code> n'est plus n&#233;cessaire.
    </li>

    </ol>


<h3><a name="ownca" id="ownca">Comment cr&#233;er et utiliser sa propre Autorit&#233; de
certification (CA) ?</a></h3>
    <p>La solution la plus simple consiste &#224; utiliser les scripts
    <code>CA.sh</code> ou <code>CA.pl</code> fournis avec OpenSSL. De
    pr&#233;f&#233;rence, utilisez cette solution, &#224; moins que vous ayez de bonnes
    raisons de ne pas le faire. Dans ce dernier cas, vous pouvez cr&#233;er un
    certificat auto-sign&#233; comme suit :</p>

    <ol>
    <li>Cr&#233;ez une cl&#233; priv&#233;e RSA pour votre serveur
    	(elle sera au format PEM et chiffr&#233;e en Triple-DES) :<br />
       <br />
       <code><strong>$ openssl genrsa -des3 -out server.key 2048</strong></code><br />
       <br />
       Sauvegardez le fichier <code>server.key</code> et le mot de passe
       &#233;ventuellement d&#233;fini en lieu s&#251;r.
       Vous pouvez afficher les d&#233;tails de cette cl&#233; priv&#233;e RSA &#224; l'aide de la
       commande :<br />
       <br />
       <code><strong>$ openssl rsa -noout -text -in server.key</strong></code><br />
       <br />
       Si n&#233;cessaire, vous pouvez aussi cr&#233;er une version PEM non chiffr&#233;e
       (non recommand&#233;) de cette cl&#233; priv&#233;e RSA	 avec :<br />
       <br />
       <code><strong>$ openssl rsa -in server.key -out server.key.unsecure</strong></code><br />
       <br />
    </li>
    <li>Cr&#233;ez un certificat auto-sign&#233; (structure X509) &#224; l'aide de la cl&#233; RSA
    que vous venez de g&#233;n&#233;rer (la sortie sera au format PEM) :<br />
       <br />
       <code><strong>$ openssl req -new -x509 -nodes -sha1 -days 365
		       -key server.key -out server.crt -extensions usr_cert</strong></code><br />
       <br />
       Cette commande signe le certificat du serveur et produit un fichier
       <code>server.crt</code>. Vous pouvez afficher les d&#233;tails de ce
       certificat avec :<br />
       <br />
       <code><strong>$ openssl x509 -noout -text -in server.crt</strong></code><br />
       <br />
    </li>
    </ol>


<h3><a name="passphrase" id="passphrase">Comment modifier le mot de passe
de ma cl&#233; priv&#233;e ?</a></h3>
<p>Vous devez simplement lire la cl&#233; avec l'ancien mot de passe et la
r&#233;&#233;crire en sp&#233;cifiant le nouveau mot de passe. Pour cela, vous pouvez
utiliser les commandes suivantes :</p>


    <p><code><strong>$ openssl rsa -des3 -in server.key -out server.key.new</strong></code><br />
    <code><strong>$ mv server.key.new server.key</strong></code><br /></p>

    <p>La premi&#232;re fois qu'il vous est demand&#233; un mot de passe PEM, vous
    devez entrer l'ancien mot de passe. Ensuite, on vous demandera d'entrer
    encore un mot de passe - cette fois, entrez le nouveau mot de passe. Si on
    vous demande de v&#233;rifier le mot de passe, vous devrez entrer le nouveau
    mot de passe une seconde fois.</p>


<h3><a name="removepassphrase" id="removepassphrase">Comment d&#233;marrer Apache sans avoir &#224; entrer de
mot de passe ?</a></h3>
<p>L'apparition de ce dialogue au d&#233;marrage et &#224; chaque red&#233;marrage provient
du fait que la cl&#233; priv&#233;e RSA contenue dans votre fichier server.key est
enregistr&#233;e sous forme chiffr&#233;e pour des raisons de s&#233;curit&#233;. Le
d&#233;chiffrement de ce fichier n&#233;cessite un mot de passe, afin de pouvoir &#234;tre
lu et interpr&#233;t&#233;. Cependant, La suppression du mot de passe diminue le niveau de
s&#233;curit&#233; du serveur - agissez avec pr&#233;cautions !</p>
    <ol>
    <li>Supprimer le chiffrement de la cl&#233; priv&#233;e RSA (tout en conservant une
    copie de sauvegarde du fichier original) :<br />
       <br />
       <code><strong>$ cp server.key server.key.org</strong></code><br />
       <code><strong>$ openssl rsa -in server.key.org -out server.key</strong></code><br />

       <br />
    </li>
    <li>Assurez-vous que le fichier server.key n'est lisible que par root :<br />
       <br />
       <code><strong>$ chmod 400 server.key</strong></code><br />
       <br />
    </li>
    </ol>

    <p>Maintenant, <code>server.key</code> contient une copie non chiffr&#233;e de
    la cl&#233;. Si vous utilisez ce fichier pour votre serveur, il ne vous
    demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive &#224; obtenir
    cette cl&#233;, il sera en mesure d'usurper votre identit&#233; sur le r&#233;seau.
    Vous DEVEZ par cons&#233;quent vous assurer que seuls root ou le serveur web
    peuvent lire ce fichier (de pr&#233;f&#233;rence, d&#233;marrez le serveur web sous
    root et faites le s'ex&#233;cuter sous un autre utilisateur, en n'autorisant
    la lecture de la cl&#233; que par root).</p>

    <p>Une autre alternative consiste &#224; utiliser la directive
    ``<code>SSLPassPhraseDialog exec:/chemin/vers/programme</code>''. Gardez
    cependant &#224; l'esprit que ce n'est bien entendu ni plus ni moins
    s&#233;curis&#233;.</p>


<h3><a name="verify" id="verify">Comment v&#233;rifier si une cl&#233; priv&#233;e correspond bien
&#224; son certificat ?</a></h3>
<p>Une cl&#233; priv&#233;e contient une s&#233;rie de nombres. Deux de ces nombres forment la
"cl&#233; publique", les autres appartiennent &#224; la "cl&#233; priv&#233;e". Les bits de la
"cl&#233; publique" sont inclus quand vous g&#233;n&#233;rez une CSR, et font par
cons&#233;quent partie du certificat associ&#233;.</p>
    <p>Pour v&#233;rifier que la cl&#233; publique contenue dans votre certificat
    correspond bien &#224; la partie publique de votre cl&#233; priv&#233;e, il vous suffit
    de comparer ces nombres. Pour afficher le certificat et la cl&#233;,
    utilisez cette commande :</p>

    <p><code><strong>$ openssl x509 -noout -text -in server.crt</strong></code><br />
    <code><strong>$ openssl rsa -noout -text -in server.key</strong></code></p>

    <p>Les parties `modulus' et `public exponent' doivent &#234;tre identiques dans
    la cl&#233; et le certificat. Comme le `public exponent' est habituellement
    65537, et comme il est difficile de v&#233;rifier visuellement que les nombreux
    nombres du `modulus' sont identiques, vous pouvez utiliser l'approche
    suivante :</p>

    <p><code><strong>$ openssl x509 -noout -modulus -in server.crt | openssl md5</strong></code><br />
    <code><strong>$ openssl rsa -noout -modulus -in server.key | openssl md5</strong></code></p>

    <p>Il ne vous reste ainsi que deux nombres relativement courts &#224; comparer.
    Il est possible, en th&#233;orie que ces deux nombres soient les m&#234;mes, sans que
    les nombres du modulus soient identiques, mais les chances en sont infimes.</p>
    <p>Si vous souhaitez v&#233;rifier &#224; quelle cl&#233; ou certificat appartient une CSR
    particuli&#232;re, vous pouvez effectuer le m&#234;me calcul
    sur la CSR comme suit :</p>

    <p><code><strong>$ openssl req -noout -modulus -in server.csr | openssl md5</strong></code></p>


<h3><a name="pemder" id="pemder">Comment convertir un certificat du format PEM
au format DER ?</a></h3>
<p>Le format des certificats par d&#233;faut pour OpenSSL est le format PEM,
qui est tout simplement un format DER cod&#233; en Base64, avec des lignes
d'en-t&#234;tes et des annotations. Certaines applications, comme
Microsoft Internet Explorer, ont besoin d'un certificat au format DER de base.
Vous pouvez convertir un fichier PEM <code>cert.pem</code> en son &#233;quivalent
au format DER <code>cert.der</code> &#224; l'aide de la commande suivante :
<code><strong>$ openssl x509 -in cert.pem -out cert.der
-outform DER</strong></code></p>


<h3><a name="gid" id="gid">Pourquoi les navigateurs se plaignent-ils de ne pas pouvoir
v&#233;rifier mon certificat de serveur ?</a></h3>

    <p>Ceci peut se produire si votre certificat de serveur est sign&#233;
    par une autorit&#233; de certification interm&#233;diaire. Plusieurs CAs,
    comme Verisign ou Thawte, ont commenc&#233; &#224; signer les certificats avec
    des certificats interm&#233;diaires au lieu de leur certificat racine.</p>

    <p>Les certificats de CA interm&#233;diaires se situe &#224; un niveau
    interm&#233;diaire entre le certificat racine de la CA (qui est install&#233; dans les
    navigateurs) et le certificat du serveur (que vous avez install&#233; sur
    votre serveur). Pour que le navigateur puisse traverser et v&#233;rifier
    la cha&#238;ne de confiance depuis le certificat du serveur jusqu'au
    certificat racine, il faut lui fournir les certificats
    interm&#233;diaires. Les CAs devraient pouvoir fournir de tels
    paquetages de certificats interm&#233;diaires &#224; installer sur les
    serveurs.</p>

    <p>Vous devez inclure ces certificats interm&#233;diaires via la
    directive <code class="directive"><a href="../mod/mod_ssl.html#sslcertificatechainfile">SSLCertificateChainFile</a></code>.</p>

</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="aboutssl" id="aboutssl">Le protocole SSL</a><a title="Lien permanent" href="#aboutssl" class="permalink">&para;</a></h2>
<ul>
<li><a href="#random">Pourquoi de nombreuses et al&#233;atoires erreurs de
protocole SSL apparaissent-elles en cas de forte charge du serveur ?</a></li>
<li><a href="#load">Pourquoi la charge de mon serveur est-elle plus
importante depuis qu'il sert des ressources chiffr&#233;es en SSL ?</a></li>
<li><a href="#establishing">Pourquoi les connexions en HTTPS &#224; mon serveur
prennent-elles parfois jusqu'&#224; 30 secondes pour s'&#233;tablir ?</a></li>
<li><a href="#ciphers">Quels sont les algorithmes de chiffrement
support&#233;s par mod_ssl ?</a></li>
<li><a href="#adh">Pourquoi une erreur ``no shared cipher'' appara&#238;t-elle
quand j'essaie d'utiliser un algorithme de chiffrement
Diffie-Hellman anonyme (ADH) ?</a></li>
<li><a href="#sharedciphers">Pourquoi une erreur ``no shared cipher''
appara&#238;t-elle lorsqu'on se connecte &#224; mon serveur
fra&#238;chement install&#233; ?</a></li>
<li><a href="#vhosts">Pourquoi ne peut-on pas utiliser SSL avec des h&#244;tes
virtuels identifi&#233;s par un nom et non par une adresse IP ?</a></li>
<li><a href="#vhosts2">Est-il possible d'utiliser
l'h&#233;bergement virtuel bas&#233; sur le nom d'h&#244;te
pour diff&#233;rencier plusieurs h&#244;tes virtuels ?</a></li>
<li><a href="#comp">Comment mettre en oeuvre la compression SSL ?</a></li>
<li><a href="#lockicon">Lorsque j'utilise l'authentification de base sur HTTPS,
l'ic&#244;ne de verrouillage des navigateurs Netscape reste ouverte quand la bo&#238;te
de dialogue d'authentification appara&#238;t. Cela signifie-t-il que les utilisateur
et mot de passe sont envoy&#233;s en clair ?</a></li>
<li><a href="#msie">Pourquoi des erreurs d'entr&#233;e/sortie apparaissent-elles
lorsqu'on se connecte &#224; un serveur Apache+mod_ssl avec
Microsoft Internet Explorer (MSIE) ?</a></li>
<li><a href="#srp">Comment activer TLS-SRP ?</a></li>
<li><a href="#javadh">Pourquoi des erreurs de n&#233;gociation apparaissent
avec les clients bas&#233;s sur Java lorsqu'on utilise un certificat de plus
de 1024 bits ?</a></li>
</ul>

<h3><a name="random" id="random">Pourquoi de nombreuses et al&#233;atoires erreurs de
protocole SSL apparaissent-elles en cas de forte charge du serveur ?</a></h3>
<p>Ce probl&#232;me peut avoir plusieurs causes, mais la principale r&#233;side dans le
cache de session SSL d&#233;fini par la directive
<code class="directive"><a href="../mod/mod_ssl.html#sslsessioncache">SSLSessionCache</a></code>. Le cache de session
DBM est souvent &#224; la source du probl&#232;me qui peut &#234;tre r&#233;solu en utilisant le
cache de session SHM (ou en n'utilisant tout simplement pas de cache).</p>


<h3><a name="load" id="load">Pourquoi la charge de mon serveur est-elle plus
importante depuis qu'il sert des ressources chiffr&#233;es en SSL ?</a></h3>
<p>SSL utilise un proc&#233;d&#233; de chiffrement fort qui n&#233;cessite la manipulation
d'une quantit&#233; tr&#232;s importante de nombres. Lorsque vous effectuez une requ&#234;te
pour une page web via HTTPS, tout (m&#234;me les images) est chiffr&#233; avant d'&#234;tre
transmis. C'est pourquoi un accroissement du traffic HTTPS entra&#238;ne une
augmentation de la charge.</p>


<h3><a name="establishing" id="establishing">Pourquoi les connexions en HTTPS &#224; mon serveur
prennent-elles parfois jusqu'&#224; 30 secondes pour s'&#233;tablir ?</a></h3>
<p>Ce probl&#232;me provient en g&#233;n&#233;ral d'un p&#233;riph&#233;rique <code>/dev/random</code>
qui bloque l'appel syst&#232;me read(2) jusqu'&#224; ce que suffisamment d'entropie
soit disponible pour servir la requ&#234;te. Pour plus d'information, se r&#233;f&#233;rer au
manuel de r&#233;f&#233;rence de la directive
<code class="directive"><a href="../mod/mod_ssl.html#sslrandomseed">SSLRandomSeed</a></code>.</p>


<h3><a name="ciphers" id="ciphers">Quels sont les algorithmes de chiffrement
support&#233;s par mod_ssl ?</a></h3>
<p>En g&#233;n&#233;ral, tous les algorithmes de chiffrement support&#233;s par la version
d'OpenSSL install&#233;e, le sont aussi par <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>. La liste des
algorithmes disponibles peut d&#233;pendre de la mani&#232;re dont vous avez install&#233;
OpenSSL. Typiquement, au moins les algorithmes suivants sont support&#233;s :</p>

    <ol>
    <li>RC4 avec SHA1</li>
    <li>AES avec SHA1</li>
    <li>Triple-DES avec SHA1</li>
    </ol>

    <p>Pour d&#233;terminer la liste r&#233;elle des algorithmes disponibles, vous
    pouvez utiliser la commande suivante :</p>
    <div class="example"><p><code>$ openssl ciphers -v</code></p></div>


<h3><a name="adh" id="adh">Pourquoi une erreur ``no shared cipher'' appara&#238;t-elle
quand j'essaie d'utiliser un algorithme de chiffrement
Diffie-Hellman anonyme (ADH) ?</a></h3>
<p>Par d&#233;faut et pour des raisons de s&#233;curit&#233;, OpenSSl ne permet <em>pas</em>
l'utilisation des algorithmes de chiffrements ADH. Veuillez vous informer
sur les effets pervers potentiels si vous choisissez d'activer le support
de ces algorithmes de chiffrements.</p>
<p>Pour pouvoir utiliser les algorithmes de chiffrements Diffie-Hellman
anonymes (ADH), vous devez compiler OpenSSL avec
``<code>-DSSL_ALLOW_ADH</code>'', puis ajouter ``<code>ADH</code>'' &#224; votre
directive <code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code>.</p>


<h3><a name="sharedciphers" id="sharedciphers">Pourquoi une erreur ``no shared cipher''
appara&#238;t-elle lorsqu'on se connecte &#224; mon serveur
fra&#238;chement install&#233; ?</a></h3>
<p>Soit vous avez fait une erreur en d&#233;finissant votre directive
<code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code> (comparez-la avec
l'exemple pr&#233;configur&#233; dans <code>extra/httpd-ssl.conf</code>), soit vous avez
choisi d'utiliser des algorithmes DSA/DH au lieu de RSA lorsque vous avez
g&#233;n&#233;r&#233; votre cl&#233; priv&#233;e, et avez ignor&#233; ou &#234;tes pass&#233; outre les
avertissements. Si vous avez choisi DSA/DH, votre serveur est incapable de
communiquer en utilisant des algorithmes de chiffrements SSL bas&#233;s sur RSA
(du moins tant que vous n'aurez pas configur&#233; une paire cl&#233;/certificat RSA
additionnelle). Les navigateurs modernes tels que NS ou IE ne peuvent
communiquer par SSL qu'avec des algorithmes RSA. C'est ce qui provoque l'erreur
"no shared ciphers". Pour la corriger, g&#233;n&#233;rez une nouvelle paire
cl&#233;/certificat pour le serveur en utilisant un algorithme de chiffrement
RSA.</p>


<h3><a name="vhosts" id="vhosts">Pourquoi ne peut-on pas utiliser SSL avec des h&#244;tes
virtuels identifi&#233;s par un nom et non par une adresse IP ?</a></h3>
<p>La raison est tr&#232;s technique, et s'apparente au probl&#232;me de la primaut&#233; de
l'oeuf ou de la poule. La couche du protocole SSL se trouve en dessous de la
couche de protocole HTTP qu'elle encapsule. Lors de l'&#233;tablissement d'une
connexion SSL (HTTPS), Apache/mod_ssl doit n&#233;gocier les param&#232;tres du
protocole SSL avec le client. Pour cela, mod_ssl doit consulter la
configuration du serveur virtuel (par exemple, il doit acc&#233;der &#224; la suite
d'algorithmes de chiffrement, au certificat du serveur, etc...). Mais afin de
s&#233;lectionner le bon serveur virtuel, Apache doit conna&#238;tre le contenu du champ
d'en-t&#234;te HTTP <code>Host</code>. Pour cela, il doit lire l'en-t&#234;te de la
requ&#234;te HTTP. Mais il ne peut le faire tant que la n&#233;gociation SSL n'est pas
termin&#233;e, or, la phase de n&#233;gociation SSL a besoin du nom d'h&#244;te contenu
dans l'en-t&#234;te de la requ&#234;te. Voir la question suivante pour
contourner ce probl&#232;me.</p>

    <p>Notez que si votre certificat comporte un nom de serveur avec
    caract&#232;res g&#233;n&#233;riques, ou des noms de serveurs multiples dans le
    champ subjectAltName, vous pouvez utiliser SSL avec les serveurs
    virtuels &#224; base de noms sans avoir &#224; contourner ce probl&#232;me.</p>


<h3><a name="vhosts2" id="vhosts2">Est-il possible d'utiliser
l'h&#233;bergement virtuel bas&#233; sur le nom d'h&#244;te
pour diff&#233;rencier plusieurs h&#244;tes virtuels ?</a></h3>
    <p>L'h&#233;bergement virtuel bas&#233; sur le nom est une m&#233;thode tr&#232;s populaire
    d'identification des diff&#233;rents h&#244;tes virtuels. Il permet d'utiliser la
    m&#234;me adresse IP et le m&#234;me num&#233;ro de port pour de nombreux sites
    diff&#233;rents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser
    que l'on peut appliquer la m&#234;me m&#233;thode pour g&#233;rer plusieurs h&#244;tes
    virtuels SSL sur le m&#234;me serveur.</p>

    <p>C'est possible, mais seulement si on utilise une version 2.2.12
    ou sup&#233;rieure du serveur web compil&#233;e avec OpenSSL
    version 0.9.8j ou sup&#233;rieure. Ceci est du au fait que
    l'utilisation de l'h&#233;bergement virtuel &#224; base de nom
    avec SSL n&#233;cessite une fonctionnalit&#233; appel&#233;e
    Indication du Nom de Serveur (Server Name Indication - SNI) que
    seules les r&#233;visions les plus r&#233;centes de la
    sp&#233;cification SSL supportent.</p>

    <p>Notez que si votre certificat comporte un nom de serveur avec
    caract&#232;res g&#233;n&#233;riques, ou des noms de serveurs multiples dans le
    champ subjectAltName, vous pouvez utiliser SSL avec les serveurs
    virtuels &#224; base de noms sans avoir &#224; contourner ce probl&#232;me.</p>

    <p>La raison en est que le protocole SSL constitue une couche s&#233;par&#233;e qui
    encapsule le protocole HTTP. Aini, la session SSL n&#233;cessite une
    transaction s&#233;par&#233;e qui prend place avant que la session HTTP n'ait d&#233;but&#233;.
    Le serveur re&#231;oit une requ&#234;te SSL sur l'adresse IP X et le port Y
    (habituellement 443). Comme la requ&#234;te SSL ne contenait aucun
    en-t&#234;te Host:, le serveur n'avait aucun moyen de d&#233;terminer quel h&#244;te virtuel SSL il
    devait utiliser. En g&#233;n&#233;ral, il utilisait le premier
    qu'il trouvait et qui
    correspondait &#224; l'adresse IP et au port sp&#233;cifi&#233;s.</p>

    <p>Par contre, si vous utilisez des versions du serveur web et
    d'OpenSSL qui supportent SNI, et si le navigateur du client le
    supporte aussi, alors le nom d'h&#244;te sera inclus dans la
    requ&#234;te SSL originale, et le serveur web pourra
    s&#233;lectionner le bon serveur virtuel SSL.</p>

    <p>Bien entendu, vous pouvez utiliser l'h&#233;bergement virtuel bas&#233; sur le nom
    pour identifier de nombreux h&#244;tes virtuels non-SSL
    (tous sur le port 80 par exemple), et ne g&#233;rer qu'un seul h&#244;te virtuel SSL
    (sur le port 443). Mais dans ce cas, vous devez d&#233;finir le num&#233;ro de port
    non-SSL &#224; l'aide de la directive NameVirtualHost dans ce style :</p>

    <pre class="prettyprint lang-config">NameVirtualHost 192.168.1.1:80</pre>


    <p>il existe d'autres solutions alternatives comme :</p>

    <p>Utiliser des adresses IP diff&#233;rentes pour chaque h&#244;te SSL.
    Utiliser des num&#233;ros de port diff&#233;rents pour chaque h&#244;te SSL.</p>


<h3><a name="comp" id="comp">Comment mettre en oeuvre la compression SSL ?</a></h3>
<p>Bien que la n&#233;gociation pour la compression SSL ait &#233;t&#233; d&#233;finie dans la
sp&#233;cification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a
d&#233;fini DEFLATE comme une m&#233;thode de compression standard n&#233;gociable.
</p>
<p>Depuis la version 0.9.8, OpenSSL supporte cette compression par d&#233;faut
lorsqu'il est compil&#233; avec l'option <code>zlib</code>. Si le client et le
serveur supportent la compression, elle sera utilis&#233;e. Cependant, la
plupart des clients essaient encore de se connecter avec un Hello SSLv2.
Comme SSLv2 ne comportait pas de table des algorithmes de compression pr&#233;f&#233;r&#233;s
dans sa n&#233;gociation, la compression ne peut pas &#234;tre n&#233;goci&#233;e avec ces clients.
Si le client d&#233;sactive le support SSLv2, un Hello SSLv3 ou TLS peut &#234;tre
envoy&#233;, selon la biblioth&#232;que SSL utilis&#233;e, et la compression peut &#234;tre mise
en oeuvre. Vous pouvez v&#233;rifier si un client utilise la compression SSL en
journalisant la variable <code>%{SSL_COMPRESS_METHOD}x</code>.
</p>


<h3><a name="lockicon" id="lockicon">Lorsque j'utilise l'authentification de base sur HTTPS,
l'ic&#244;ne de verrouillage des navigateurs Netscape reste ouverte quand la bo&#238;te
de dialogue d'authentification appara&#238;t. Cela signifie-t-il que les utilisateur
et mot de passe sont envoy&#233;s en clair ?</a></h3>
<p>Non, le couple utilisateur/mot de passe est transmis sous forme chiffr&#233;e.
	L'ic&#244;ne de chiffrement dans les navigateurs Netscape n'est pas vraiment
	synchronis&#233; avec la couche SSL/TLS. Il ne passe &#224; l'&#233;tat verrouill&#233;
	qu'au moment o&#249; la premi&#232;re partie des donn&#233;es relatives &#224; la page web
	proprement dite sont transf&#233;r&#233;es, ce qui peut pr&#234;ter &#224; confusion. Le
	dispositif d'authentification de base appartient &#224; la couche HTTP, qui
	est situ&#233;e au dessus de la couche SSL/TLS dans HTTPS. Avant tout
	transfert de donn&#233;es HTTP sous HTTPS, la couche SSL/TLS a d&#233;j&#224; achev&#233;
	sa phase de n&#233;gociation et bascul&#233; dans le mode de communication
	chiffr&#233;e. Ne vous laissez donc pas abuser par l'&#233;tat de cet ic&#244;ne.</p>


<h3><a name="msie" id="msie">Pourquoi des erreurs d'entr&#233;e/sortie apparaissent-elles
lorsqu'on se connecte via HTTPS &#224; un serveur Apache+mod_ssl avec des
versions anciennes de
Microsoft Internet Explorer (MSIE) ?</a></h3>
<p>La premi&#232;re raison en est la pr&#233;sence dans l'impl&#233;mentation SSL de
certaines versions de MSIE de bogues subtils en rapport avec le
dispositif de "maintien en vie" (keep-alive) HTTP, et les alertes de
notification de fermeture de session SSL en cas de coupure de la
connexion au point d'entr&#233;e (socket). De plus, l'interaction entre
SSL et les fonctionnalit&#233;s HTTP/1.1 pose probl&#232;me avec certaines
versions de MSIE. Vous pouvez contourner ces probl&#232;mes en interdisant
&#224; Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie
ou l'envoi de messages de notification de fermeture de session SSL aux
clients MSIE. Pour cela, vous pouvez utiliser la directive suivante
dans votre section d'h&#244;te virtuel avec support SSL :</p>
    <pre class="prettyprint lang-config">SetEnvIf User-Agent "MSIE [2-5]" \
         nokeepalive ssl-unclean-shutdown \
         downgrade-1.0 force-response-1.0</pre>

    <p>En outre, certaines versions de MSIE ont des probl&#232;mes avec des
    algorithmes de chiffrement particuliers. H&#233;las, il n'est pas
    possible d'apporter une solution sp&#233;cifique &#224; MSIE pour ces
    probl&#232;mes, car les algorithmes de chiffrement sont utilis&#233;s d&#232;s la
    phase de n&#233;gociation SSL. Ainsi, une directive
    <code class="directive"><a href="../mod/mod_setenvif.html#setenvif">SetEnvIf</a></code> sp&#233;cifique
    &#224; MSIE ne peut &#234;tre d'aucun secours. Par contre, vous devrez
    ajuster les param&#232;tres g&#233;n&#233;raux de mani&#232;re drastique. Avant de
    vous d&#233;cider, soyez s&#251;r que vos clients rencontrent vraiment des
    probl&#232;mes. Dans la n&#233;gative, n'effectuez pas ces ajustements car
    ils affecteront <em>tous</em> vos clients, ceux utilisant MSIE,
    mais aussi les autres.</p>



<h3><a name="srp" id="srp">Comment activer TLS-SRP ?</a></h3>
    <p>TLS-SRP (Echange de cl&#233;s avec mot de passe distant s&#233;curis&#233;,
    d&#233;fini dans la RFC 5054) peut compl&#233;ter ou m&#234;me remplacer les
    certificats au cours de l'authentification d'une connexion SSL. Pour
    utiliser TLS-SRP, affectez &#224; la directive <code class="directive"><a href="../mod/mod_ssl.html#sslsrpverifierfile">SSLSRPVerifierFile</a></code> un fichier de
    v&#233;rification OpenSSL SRP. Pour cr&#233;er ce fichier de v&#233;rification,
    utilisez l'outil <code>openssl</code> :</p>
    <div class="example"><p><code>
    openssl srp -srpvfile passwd.srpv -add username
    </code></p></div>
    <p>Une fois ce fichier cr&#233;&#233;, sp&#233;cifiez-le dans la configuration SSL
    du serveur :</p>
    <div class="example"><p><code>
    SSLSRPVerifierFile /path/to/passwd.srpv
    </code></p></div>
    <p>Pour forcer les clients &#224; utiliser des algorithmes de chiffrement
    non bas&#233;s sur les certificats, utilisez la directive suivante :</p>
    <div class="example"><p><code>
    SSLCipherSuite "!DSS:!aRSA:SRP"
    </code></p></div>


<h3><a name="javadh" id="javadh">Pourquoi des erreurs de n&#233;gociation apparaissent
avec les clients bas&#233;s sur Java lorsqu'on utilise un certificat de plus
de 1024 bits ?</a></h3>
    <p>Depuis la version 2.5.0-dev et &#224;/c du 29/09/2013,
    <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> utilise des param&#232;tres DH qui comportent
    des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions
    ant&#233;rieures ne supportent que les nombres premiers DH d'une longueur
    maximale de 1024 bits.</p>

    <p>Si votre client bas&#233; sur Java s'arr&#234;te avec une exception telle
    que <code>java.lang.RuntimeException: Could not generate DH
    keypair</code> et
    <code>java.security.InvalidAlgorithmParameterException: Prime size
    must be multiple of 64, and can only range from 512 to 1024
    (inclusive)</code>, et si httpd enregistre le message <code>tlsv1
    alert internal error (SSL alert number 80)</code> dans son journal
    des erreurs (avec un <code class="directive"><a href="../mod/core.html#loglevel">LogLevel</a></code>
    <code>info</code> ou sup&#233;rieur), vous pouvez soit r&#233;arranger la
    liste d'algorithmes de mod_ssl via la directive <code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code> (&#233;ventuellement en
    conjonction avec la directive <code class="directive"><a href="../mod/mod_ssl.html#sslhonorcipherorder">SSLHonorCipherOrder</a></code>), soit utiliser des
    param&#232;tres DH personnalis&#233;s avec un nombre
    premier de 1024 bits, param&#232;tres qui seront toujours prioritaires
    par rapport &#224; tout autre param&#232;tre DH par d&#233;faut.</p>

    <p>Pour g&#233;n&#233;rer des param&#232;tres DH personnalis&#233;s, utilisez la
    commande <code>openssl dhparam 1024</code>. Vous pouvez aussi
    utiliser les param&#232;tres DH standards issus de la <a href="http://www.ietf.org/rfc/rfc2409.txt">RFC 2409</a>, section 6.2 :</p>
    <div class="example"><pre>-----BEGIN DH PARAMETERS-----
MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
-----END DH PARAMETERS-----</pre></div>
    <p>Ajoute les param&#232;tres personnalis&#233;s incluant les lignes "BEGIN DH
    PARAMETERS" et "END DH PARAMETERS" &#224; la fin du premier fichier de
    certificat d&#233;fini via la directive <code class="directive"><a href="../mod/mod_ssl.html#sslcertificatefile">SSLCertificateFile</a></code>.</p>



</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="support" id="support">Support de mod_ssl</a><a title="Lien permanent" href="#support" class="permalink">&para;</a></h2>
<ul>
<li><a href="#resources">Quelles sont les sources d'informations
disponibles en cas de probl&#232;me avec mod_ssl ?</a></li>
<li><a href="#contact">Qui peut-on contacter pour un support en cas de
probl&#232;me avec mod_ssl ?</a></li>
<li><a href="#reportdetails">Quelles informations dois-je fournir lors
de l'&#233;criture d'un rapport de bogue ?</a></li>
<li><a href="#coredumphelp">Un vidage m&#233;moire s'est produit,
pouvez-vous m'aider ?</a></li>
<li><a href="#backtrace">Comment puis-je obtenir une journalisation de
ce qui s'est pass&#233;, pour m'aider &#224; trouver la raison de ce vidage
m&#233;moire ?</a></li>
</ul>

<h3><a name="resources" id="resources">Quelles sont les sources d'informations
disponibles en cas de probl&#232;me avec mod_ssl ?</a></h3>
<p>Voici les sources d'informations disponibles ; vous devez chercher
ici en cas de probl&#232;me.</p>

    <dl>
    <dt>Vous trouverez des r&#233;ponses dans la Foire Aux Questions du
    manuel utilisateur (ce document)</dt>
    <dd><a href="http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html">
    	http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html</a><br />
	Cherchez tout d'abord dans la foire aux questions
	(ce document). Si votre question est courante, on a d&#233;j&#224; d&#251; y
	r&#233;pondre de nombreuses fois, et elle fait probablement partie
	de ce document.
    </dd>
    </dl>


<h3><a name="contact" id="contact">Qui peut-on contacter pour un support en cas de
probl&#232;me avec mod_ssl ?</a></h3>
 <p>Voici toutes les possibilit&#233;s de support pour mod_ssl, par ordre
 de pr&#233;f&#233;rence. Merci d'utiliser ces possibilit&#233;s
 <em>dans cet ordre</em> - ne vous pr&#233;cipitez pas sur celle qui vous
 para&#238;t la plus all&#233;chante. </p>
    <ol>
    <li><em>Envoyez un rapport de probl&#232;me &#224; la liste de diffusion de
    support des utilisateurs d'Apache httpd</em><br />
        <a href="mailto:users@httpd.apache.org">
        users@httpd.apache.org</a><br />
        C'est la deuxi&#232;me mani&#232;re de soumettre votre rapport de
	probl&#232;me. Ici aussi, vous devez d'abord vous abonner &#224; la
	liste, mais vous pourrez ensuite discuter facilement de votre
	probl&#232;me avec l'ensemble de la communaut&#233; d'utilisateurs
	d'Apache httpd.
    </li>

    <li><em>Ecrire un rapport de probl&#232;me dans la base de donn&#233;es des
    bogues</em><br />
	<a href="http://httpd.apache.org/bug_report.html">
	http://httpd.apache.org/bug_report.html</a><br />
        C'est la derni&#232;re mani&#232;re de soumettre votre rapport de
	probl&#232;me. Vous ne devez utiliser cette solution que si vous
	avez d&#233;j&#224; &#233;crit aux listes de diffusion, et n'avez pas trouv&#233;
	de solution. Merci de suivre les instructions de la page
	mentionn&#233;e ci-dessus <em>avec soin</em>.
    </li>
    </ol>


<h3><a name="reportdetails" id="reportdetails">Quelles informations dois-je fournir lors
de l'&#233;criture d'un rapport de bogue ?</a></h3>
<p>Vous devez toujours fournir au moins les informations
suivantes :</p>

    <dl>
    <dt>Les versions d'Apache httpd et OpenSSL install&#233;es</dt>
    <dd>La version d'Apache peut &#234;tre d&#233;termin&#233;e en ex&#233;cutant
    <code>httpd -v</code>. La version d'OpenSSL peut &#234;tre d&#233;termin&#233;e
    en ex&#233;cutant <code>openssl version</code>. Si Lynx est install&#233;,
    vous pouvez aussi ex&#233;cuter la commande<code>lynx -mime_header
    http://localhost/ | grep Server</code> et ainsi obtenir ces
    informations en une seule fois.
    </dd>

    <dt>Les d&#233;tails de votre installation d'Apache httpd et OpenSSL</dt>
    <dd>A cet effet, vous pouvez fournir un fichier journal de votre
    session de terminal qui montre les &#233;tapes de la configuration et
    de l'installation. En cas d'impossibilit&#233;, vous devez au moins
    fournir la ligne de commande <code class="program"><a href="../programs/configure.html">configure</a></code> que
    vous avez utilis&#233;e.
    </dd>

    <dt>En cas de vidage m&#233;moire, inclure une trace de ce qui s'est
    pass&#233;</dt>
    <dd>Si votre serveur Apache httpd fait un vidage de sa
    m&#233;moire, merci de fournir en pi&#232;ce jointe un fichier contenant
    une trace de la zone d&#233;di&#233;e &#224; la pile (voir
    <a href="#backtrace">ci-dessous</a> pour des informations sur la mani&#232;re
    de l'obtenir). Il est n&#233;cessaire de disposer de ces informations
    afin de pouvoir d&#233;terminer la raison de votre vidage m&#233;moire.
    </dd>

    <dt>Une description d&#233;taill&#233;e de votre probl&#232;me</dt>

    <dd>Ne riez pas, nous sommes s&#233;rieux ! De nombreux rapports
    n'incluent pas de description de la v&#233;ritable nature du probl&#232;me.
    Sans ces informations, il est tr&#232;s difficile pour quiconque de
    vous aider. Donc, et c'est votre propre int&#233;r&#234;t (vous souhaitez
    que le probl&#232;me soit r&#233;solu, n'est-ce pas ?), fournissez, s'il vous
    plait, le maximum de d&#233;tails possible. Bien entendu, vous devez
    aussi inclure tout ce qui a &#233;t&#233; dit pr&#233;c&#233;demment.
    </dd>
    </dl>


<h3><a name="coredumphelp" id="coredumphelp">Un vidage m&#233;moire s'est produit,
pouvez-vous m'aider ?</a></h3>
<p>En g&#233;n&#233;ral non, du moins tant que vous n'aurez pas fourni plus de
d&#233;tails &#224; propos de la localisation dans le code o&#249; Apache a effectu&#233;
son vidage m&#233;moire. Ce dont nous avons en g&#233;n&#233;ral besoin pour vous
aider est une trace de ce qui s'est pass&#233; (voir la question suivante).
Sans cette information, il est pratiquement impossible de d&#233;terminer
la nature du probl&#232;me et de vous aider &#224; le r&#233;soudre.</p>


<h3><a name="backtrace" id="backtrace">Comment puis-je obtenir une journalisation de
ce qui s'est pass&#233;, pour m'aider &#224; trouver la raison de ce vidage
m&#233;moire ?</a></h3>
<p>Vous trouverez ci-dessous les diff&#233;rentes &#233;tapes permettant
d'obtenir une journalisation des &#233;v&#232;nements (backtrace) :</p>
    <ol>
    <li>Assurez-vous que les symboles de d&#233;bogage sont disponibles, au
    moins pour Apache. Pour cela, sur les plates-formes o&#249; GCC/GDB est
    utilis&#233;, vous devez compiler Apache+mod_ssl avec l'option
    ``<code>OPTIM="-g -ggdb3"</code>''. Sur les autres plates-formes,
    l'option ``<code>OPTIM="-g"</code>'' est un minimum.
    </li>

    <li>D&#233;marrez le serveur et essayez de reproduire le vidage m&#233;moire.
    A cet effet, vous pouvez utiliser une directive du style
    ``<code>CoreDumpDirectory /tmp</code>'' pour &#234;tre s&#251;r que le
    fichier de vidage m&#233;moire puisse bien &#234;tre &#233;crit. Vous devriez
    obtenir un fichier <code>/tmp/core</code> ou
    <code>/tmp/httpd.core</code>. Si ce n'est pas le cas, essayez de
    lancer votre serveur sous un UID autre que root.
    Pour des raisons de s&#233;curit&#233;, de nombreux
    noyaux modernes de permettent pas &#224; un processus de vider sa
    m&#233;moire une fois qu'il a accompli un <code>setuid()</code> (&#224; moins
    qu'il effectue un <code>exec()</code>) car des informations d'un
    niveau privil&#233;gi&#233; pourraient &#234;tre transmises en m&#233;moire. Si
    n&#233;cessaire, vous pouvez ex&#233;cuter <code>/chemin/vers/httpd -X</code>
    manuellement afin de ne pas permettre &#224; Apache de se cl&#244;ner (fork).
    </li>

    <li>Analysez le vidage m&#233;moire. Pour cela, ex&#233;cutez
    <code>gdb /path/to/httpd /tmp/httpd.core</code> ou une commande
    similaire. Dans GDB, tout ce que vous avez &#224; faire est d'entrer
    <code>bt</code>, et voila, vous obtenez la backtrace. Pour les
    d&#233;bogueurs autres que GDB consulter le manuel correspondant.
    </li>
    </ol>

</div></div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/ssl/ssl_faq.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/ssl/ssl_faq.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/ssl/ssl_faq.html';
(function(w, d) {
    if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
        d.write('<div id="comments_thread"><\/div>');
        var s = d.createElement('script');
        s.type = 'text/javascript';
        s.async = true;
        s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
        (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
    }
    else {
        d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
    }
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2018 The Apache Software Foundation.<br />Autoris&#233; sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
    prettyPrint();
}
//--><!]]></script>
</body></html>