[Résolu]certificat StartSSL non reconnu sur autre pc que le mien

GhostSpirit · Le 09/03/2016, à 22:07

bonjour,

j'aurais besoin de précision, car je crois que je me mélange les pinceaux.

(certificat StartSSL non reconnu sur autre pc que le mien)
première question est-ce un comportement normal avec un certificat StartSSL

avant les autres questions quelques précisions

j'ai un nom de domaine chez ovh,
un server avec apache2, mysql et owncloud, le but de serveur et de servir autant de sauvegarde que de partager des photos avec le reste de la famille et quelques amis
le tout derrière un routeur orange livebox2.

j'ai pris un certificat chez startssl

depuis chez moi je me connecte sans aucun problème

mais dès je me connecte avec un autre pc que le mien, exemple avec un pc virtuel
j'ai cette erreur :

avec chrome : la connexion n'est pas sécurisé : Impossible de vérifier sur le serveur qu'il s'agit bien du domaine moncloud.fr, car son certificat de sécurité provient du domaine mailconfig.ovh.net....

avec firefox : Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue. Le serveur n'envoie peut-être pas les certificats intermédiaires appropriés. Il peut être nécessaire d'importer un certificat racine supplémentaire. Le certificat n'est valide que pour livebox.

Sur mon PC c'est écris vérifié par StartCom et tuti quanti et tout fonctionne.

compatible avec les navigateur signifie,
1 par défaut dans les navigateur
2 fonctionne avec les navigateur après téléchargement de certificat racine(je suis pas sûr de la définition de certificat racine

quelqu'un utilse t-il startSSL sans connaitre des problèem similaire au mien ?

Les certificats qui sont par défaut dans les navigateur ont-ils un nom spécifique (comme certificat racine) ?

si le problème viens de la configurations des certificats intermédiaires, commetn puis-je le résoudre

moncloud.conf :

<VirtualHost *:443>
        ServerAdmin webmaster@moncloud.fr
        ServerAlias www.moncloud.fr  moncloud.fr
        ServerName moncloud.fr
        Header always add Strict-Transport-Security "max-age=15768000"
        DocumentRoot /var/www/moncloud.fr

        SSLEngine On
        SSLCertificateFile /etc/apache2/ssl2/reqs/www.moncloud-3.fr.crt
        SSLCertificateKeyFile /etc/apache2/ssl2/server.key
        SSLCertificateChainFile /etc/apache2/ssl2/sub.class1.server.ca.pem
        SSLCACertificateFile /etc/apache2/ssl2/reqs/1_root_bundle.crt
        #CustomLog   /usr/local/apache/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
        #SSLCACertificateFile /etc/apache2/ssl/ca.pem

        SSLProtocol All -TLSv1 -SSLv2 -SSLv3
        SSLHonorCipherOrder On
        SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:HIGH:!MD5:!aNULL:!EDH:!RC4

        #SSLCompression off     


        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/moncloud.fr>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride all
                Order allow,deny
                allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel debug
        CustomLog /var/log/apache2/access.log combined

</VirtualHost>

Dernière modification par GhostSpirit (Le 10/03/2016, à 08:55)

bobe · Le 09/03/2016, à 22:21

Première chose : la directive SSLCACertificateFile n'est utile que pour valider des certificats présentés par les clients, donc inutile dans ton cas, sauf s'il est prévu une authentification des clients sur cette base (certificat client).

Ensuite, vérifier le contenu du certificat :

$ openssl x509 -in /etc/apache2/ssl2/reqs/www.moncloud-3.fr.crt -noout -text

le champ issuer indique quelle entité a signé numériquement le certificat.

Le fichier ciblé par SSLCertificateChainFile ne doit contenir que les certificats intermédiaires (une "erreur" classique est d'y mettre aussi le certificat racine. Inutile vu qu'il se trouve forcément dans la bibliothèque de certificats racine du navigateur).

SSLlabs.com pour vérifier la bonne configuration du serveur : https://www.ssllabs.com/ssltest/index.html

GhostSpirit · Le 09/03/2016, à 22:31

@merci bobe

voici le retour de ta commande au niveau du champ champ issuer

Issuer: C=IL, O=StartCom Ltd., OU=StartCom Certification Authority, CN=StartCom Class 1 DV Server CA
        Validity
            Not Before: Mar  8 16:21:54 2016 GMT
            Not After : Mar  8 16:21:54 2017 GMT

bobe · Le 09/03/2016, à 22:46

Le subject correspond bien à ton serveur (CN=...) ?
Que contient le fichier /etc/apache2/ssl2/sub.class1.server.ca.pem ?

Mais on se trompe peut-être de direction...
Apache est accessible depuis l'extérieur pour tes virtualhost configuré sur le port 80 ?
C'est peut-être que la livebox ne redirige pas les paquets entrants par les ports 80 et 443 vers le PC faisant office de serveur ? Ça paraît bête mais tu avais peut-être redirigé le port 80 mais oublié de le faire pour le port 443...

bobe · Le 09/03/2016, à 22:50

avec chrome : la connexion n'est pas sécurisé : Impossible de vérifier sur le serveur qu'il s'agit bien du domaine moncloud.fr, car son certificat de sécurité provient du domaine mailconfig.ovh.net....

Ça, c'est bizarre comme erreur

GhostSpirit · Le 09/03/2016, à 22:53

j'ai cru que c'etais la livebox car opéra me dit
délivré à livebox V2 .....
mais non les ports 443 sont bien ouverts

le fichier sub.class1.server.ca.pem contient uniquement ceci

class1/sha2/pem/sub.class1.server.sha2.ca.pem

GhostSpirit · Le 09/03/2016, à 22:56

sur le site site why not paddock il remère bien mon certificat

Certificate valid through: Mar 8 16:21:54 2017 GMT
Certificate Issuer: StartCom Ltd.
SSL Protocols Supported: TLSv1.1 TLSv1.2

GhostSpirit · Le 09/03/2016, à 22:57

sur ssllab j'ai un A-

Dernière modification par GhostSpirit (Le 09/03/2016, à 22:58)

GhostSpirit · Le 09/03/2016, à 23:02

info SSLLab

[b]Server Key and Certificate #1[/b]
Subject 	moncloud.fr
Fingerprint SHA1: 06a8e67529b0dd6b5acb56df0e4fe3856eb50c6c
Pin SHA256: yqCzX6OFd1Qt62CO5wV+hPiofvdD8frTNoZAqK0rQn0=
Common names 	moncloud.fr
Alternative names 	wwwmoncloud.fr moncloudcloud.fr
Valid from 	Tue, 08 Mar 2016 16:21:54 UTC
Valid until 	Wed, 08 Mar 2017 16:21:54 UTC (expires in 11 months and 26 days)
Key 	RSA 2048 bits (e 65537)
Weak key (Debian) 	No
Issuer 	StartCom Class 1 DV Server CA
AIA: [url]http://aia.startssl.com/certs/sca.server1.crt[/url]
Signature algorithm 	SHA256withRSA
Extended Validation 	No
Certificate Transparency 	No
Revocation information 	CRL, OCSP
CRL: [url]http://crl.startssl.com/sca-server1.crl[/url]
OCSP: [url]http://ocsp.startssl.com[/url]
Revocation status 	Good (not revoked)
Trusted 	Yes


[b]Additional Certificates (if supplied)[/b]
Certificates provided 	2 (2790 bytes)
Chain issues 	None
#2
Subject 	StartCom Class 1 DV Server CA
Fingerprint SHA1: 398e1936639ba5206df5179bfbb7010933969400
Pin SHA256: Fbs+o+IxVNTHBpjNQYfX/TBnxPC+OWLYxQLEtqkrAfM=
Valid until 	Mon, 16 Dec 2030 01:00:05 UTC (expires in 14 years and 9 months)
Key 	RSA 2048 bits (e 65537)
Issuer 	StartCom Certification Authority
Signature algorithm 	SHA256withRSA

[b]Certification Paths[/b]
Path #1: Trusted
1 	Sent by server 	moncloud.fr
Fingerprint SHA1: 06a8e67529b0dd6b5acb56df0e4fe3856eb50c6c
Pin SHA256: yqCzX6OFd1Qt62CO5wV+hPiofvdD8frTNoZAqK0rQn0=
RSA 2048 bits (e 65537) / SHA256withRSA
2 	Sent by server 	StartCom Class 1 DV Server CA
Fingerprint SHA1: 398e1936639ba5206df5179bfbb7010933969400
Pin SHA256: Fbs+o+IxVNTHBpjNQYfX/TBnxPC+OWLYxQLEtqkrAfM=
RSA 2048 bits (e 65537) / SHA256withRSA
3 	In trust store 	StartCom Certification Authority   Self-signed	
Fingerprint SHA1: 3e2bf7f2031b96f38ce6c4d8a85d3e2d58476a0f
Pin SHA256: 5C8kvU039KouVrl52D0eZSGf4Onjo4Khs8tmyTlV3nU=
RSA 4096 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate


[b]Path #2: Trusted[/b]
1 	Sent by server 	moncloude.fr
Fingerprint SHA1: 06a8e67529b0dd6b5acb56df0e4fe3856eb50c6c
Pin SHA256: yqCzX6OFd1Qt62CO5wV+hPiofvdD8frTNoZAqK0rQn0=
RSA 2048 bits (e 65537) / SHA256withRSA
2 	Sent by server 	StartCom Class 1 DV Server CA
Fingerprint SHA1: 398e1936639ba5206df5179bfbb7010933969400
Pin SHA256: Fbs+o+IxVNTHBpjNQYfX/TBnxPC+OWLYxQLEtqkrAfM=
RSA 2048 bits (e 65537) / SHA256withRSA
3 	In trust store 	StartCom Certification Authority   Self-signed	
Fingerprint SHA1: a3f1333fe242bfcfc5d14e8f394298406810d1a0
Pin SHA256: 5C8kvU039KouVrl52D0eZSGf4Onjo4Khs8tmyTlV3nU=
RSA 4096 bits (e 65537) / SHA256withRSA

Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 10/03/2016, à 00:01)

bobe · Le 09/03/2016, à 23:12

Ça a l'air bon. Je sèche un peu là

GhostSpirit · Le 09/03/2016, à 23:15

Moi ça fait un bail que je sèche ! une semaine...

Merci de ton aide bobe!
demain je pourrais appeler au secours

GhostSpirit · Le 09/03/2016, à 23:26

Le problème vient peut etre de là

"Ton nom de domaine pour une machine "chez toi" c'est à dire derrière une box d'un opérateur, est nécessairement un sous domaine du domaine de l'opérateur."

voir sujet sujet ipv6 chez orange

Dernière modification par GhostSpirit (Le 09/03/2016, à 23:28)

GhostSpirit · Le 09/03/2016, à 23:33

apparement il y aurait une solution

toujours dans le meêm fil de discussion

ElGibs a écrit :

Pour m'en sortir, j'ai comme tout le monde un abonnement à un DNS dynamique (celui de mon Synology) et j'ai déclaré mon nom de domaine .fr non pas associé à une IP (puisqu'elle change) mais comme un alias CNAME de mon adresse DNS dynamique.
BookMyName (par exemple, il y en a d'autres) permet d'éditer directement les entrées DNS de ma zone. 2 lignes et le tour est joué.
Aucun soucis en SSL non plus, des certificats gratuits peuvent être souscrits auprès de startssl.com
, et l'alias CNAME ne perturbe pas le matching entre le nom de domaine tapé dans le navigateur ( en .fr) et le subject du certificat.

Mais moi aussi j'aimerais plus simple que toutes ces bidouilles du fait de l'adressage dynamique d'Orange. J'ai (la chance ?) d'avoir une LiveBox activée en IPv6, mais tant que tout les clients du serveur web ne seront pas en IPv6, ce sera complexe. Et évidemment si personne ne bouge, il ne se passe rien.

Le but ultime, si tu ne perçois pas l'intérêt, est enfin de se passer des règles de PAT/NAT très pénibles et non partageables (port 80 dirigé sur 1 et 1 seule machine derrière la livebox). Oui on peut encore s'en sortir avec un reverse-proxy et le partage des URL sur plusieurs machines, mais là encore, tant de complexité pour des choses simples !

MicP · Le 10/03/2016, à 06:37

Je suppose que vous avez pensé à faire les mises à jour de vos machines qui cherchent à se connecter,
il vaut mieux le dire pour rien que…

GhostSpirit · Le 10/03/2016, à 07:31

bonjour micp,

tu pourrais être plus précis stp,

GhostSpirit · Le 10/03/2016, à 08:55

résolu, l'indice du bug était ici
mais dès je me connecte avec un autre pc que le mien, exemple avec un pc virtuel j'ai cette erreur :
mon pc virtuel est sur mon pc. (porbleme loopback orange)
sur mes pc virutel j'arrivais sur ma livebox.

Merci à bobe, pour m'avoir mis sur la voie

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/03/2016, à 22:07

[Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#2 Le 09/03/2016, à 22:21

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#3 Le 09/03/2016, à 22:31

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#4 Le 09/03/2016, à 22:46

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#5 Le 09/03/2016, à 22:50

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#6 Le 09/03/2016, à 22:53

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#7 Le 09/03/2016, à 22:56

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#8 Le 09/03/2016, à 22:57

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#9 Le 09/03/2016, à 23:02

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#10 Le 09/03/2016, à 23:12

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#11 Le 09/03/2016, à 23:15

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#12 Le 09/03/2016, à 23:26

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#13 Le 09/03/2016, à 23:33

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#14 Le 10/03/2016, à 06:37

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#15 Le 10/03/2016, à 07:31

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

#16 Le 10/03/2016, à 08:55

Re : [Résolu]certificat StartSSL non reconnu sur autre pc que le mien

Pied de page des forums