Bonjour,
La question est en faite la suivante :
Comment, dans le linux d'un NAS Asustor, activer un certificat sur un 2eme vhost qui répond à un autre nom de domaine que le 1er vhost géré et activé par l'IHM d'ADM ?
En effet, ADM ne semble vouloir gérer qu'un seul certificat pour un seul site, à mon niveau de compréhension.
A ce stade ;
_ j'ai 2 certificats Let's Encrypt Authority X3
_ Le 1er est celui dont la case à cocher est activée : "Définir comme certificat par défaut"
_ Le 2eme a un cadena ouvert et gris
====== aparté sur le produit APACHE en général ======
Quand on se penche sur la doc APACHE, on apprend que la configuration du certificat se fait à l'aide de balises :
SSLCertificateFile
SSLCertificateKeyFile
SSLCertificateChainFile
Ces 3 balises doivent pointer vers les fichiers du certificat dédié au vhost.
Il semble qu'il faille aussi ajouter cette ligne dans le vhost :
Header always set Strict-Transport-Security "max-age=15768000"
====== fin de l'aparté ======
Quand on applique cet aparté, en tout cas, chez moi, apache ne démarre plus.
cette application des balises ci-dessus a été faite dans le répertoire :
/volume0/usr/builtin/etc/apache2/sites-available
Là, j'ai imité le nom du fichier dédié à mon vhost activé via ADM ;
vhost_site01.providerDeDNS.com_443
contenant :
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerName site01.providerDeDNS.com
DocumentRoot "/volume1/Web/site01"
SSLEngine On
<Directory "/volume1/Web/site01">
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
</IfModule>
j'ai imité aussi ce contenu en l'adaptant à site02.provider02DeDNS.com
A ce stade, ca marche : le site est publié sur le web... mais ca se fait très bien aussi par la gestion des vhosts faite dans ADM donc 0 plus value à ce stade.
:-D Là où tout commence :
... reste à lui appliquer son certificat mais l'ajout des balises comme indiqué dans la doc Apache ne marche pas.
Et notons que pour le site "01" géré par ADM, ces fameuses balises ne sont pas dans le bloc de configuration du vhost ; alors où ?
Je vous propose pour finir la log produite par l'apache du NAS (niveau "debug") pour :
01 / le site activé par défaut dans l'IHM ADM (donc le site qui marche en SSL/TLS)
[Sat Sep 29 10:35:22.181814 2018] [ssl:info] [pid 31509] AH01914: Configuring server site01.providerDeDNS.com:443 for SSL protocol
[Sat Sep 29 10:35:22.182385 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(1031): AH01904: Configuring server certificate chain (2 CA certificates)
[Sat Sep 29 10:35:22.182404 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(445): AH01893: Configuring TLS extension handling
[Sat Sep 29 10:35:22.182832 2018] [ssl:debug] [pid 31509] ssl_util_ssl.c(443): AH02412: [site01.providerDeDNS.com:443]
Cert matches for name 'site01.providerDeDNS.com' [subject: CN=site01.providerDeDNS.com / issuer: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US / serial: 042563A24AAA811597AE9D190959053 / notbefore: Jul 22 19:22:59 2018 GMT / notafter: Oct 20 19:22:59 2018 GMT]
[Sat Sep 29 10:35:22.182857 2018] [ssl:info] [pid 31509] AH02568: Certificate and private key site01.providerDeDNS.com:443:0 configured from /usr/builtin/etc/apache2/server.crt and /usr/builtin/etc/apache2/server.key
02 / le site activé par moi dans putty (donc le site qui NE marche PAS en SSL/TLS)
[Sat Sep 29 10:35:22.180545 2018] [ssl:info] [pid 31509] AH01914: Configuring server site02.provider02DeDNS.com:443 for SSL protocol
[Sat Sep 29 10:35:22.181126 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(1031): AH01904: Configuring server certificate chain (2 CA certificates)
[Sat Sep 29 10:35:22.181144 2018] [ssl:debug] [pid 31509] ssl_engine_init.c(445): AH01893: Configuring TLS extension handling
[Sat Sep 29 10:35:22.181565 2018] [ssl:debug] [pid 31509] ssl_util_ssl.c(443): AH02412: [site02.provider02DeDNS.com:443]
Cert does not match for name 'site02.provider02DeDNS.com' [subject: CN=site01.providerDeDNS.com / issuer: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US / serial: 042563A2JAAAA811597EE9D190959053 / notbefore: Jul 22 19:22:59 2018 GMT / notafter: Oct 20 19:22:59 2018 GMT]
[Sat Sep 29 10:35:22.181590 2018] [ssl:warn] [pid 31509] AH01909: site02.provider02DeDNS.com:443:0 server certificate does NOT include an ID which matches the server name
[Sat Sep 29 10:35:22.181604 2018] [ssl:info] [pid 31509] AH02568: Certificate and private key site02.provider02DeDNS.com:443:0 configured from /usr/builtin/etc/apache2/server.crt and /usr/builtin/etc/apache2/server.key
Question en sortie :
_ faut il rester sur la doc apache et chercher un scope (une portée...) du certificat du site 1 qui écraserait toute configuration faite au sein des blocs de conf apache des vhost ?
_ faut il voir ca avec les spécialistes ADM qui auraient fait une bidouille spécifique pour plus de sécurité ou éviter que les bidouilleurs du dimanche cassent leur NAS avant de se retourner vers le support qui croulerait alors sous les demandes...?
_ ...
?