[gull] openssl maintenir deux certificats CA_Root temporairement

magnus anderssen magnus at magooweb.com
Tue Nov 10 20:53:51 CET 2015



On 2015-11-10 20:51, magnus anderssen wrote:
> On 2015-11-10 19:57, Yves Martin wrote:
>> On Mon, 2015-11-09 at 09:49 +0100, felix wrote:
>>> On Mon, Nov 02, 2015 at 04:09:25PM +0000, TISSOT Jacques wrote:
>>> > ... certains serveurs obtiennent leur certificat
>>> > d'une autorité A (caduque mais encore existante) et d'autres serveurs
>>> > d'une autorité B (la nouvelle mise en place)...
>>> 
>>> > ... serveurs Linux (Debian)... coexister les deux certificats
>>> > que les requêtes Zenoss ldap_check puissent utiliser l'un ou l'autre
>>> ...
>>> 
>>> Oui, dans Apache-2 tu peux très bien configurer 2 ``virtual hosts'',
>>> (machine1.modomaine.ici, machine2,.mondomaine.ici) que tu fais 
>>> pointer
>>> sur la même IP (machine physique), utilisant chacun sa pair de clef
>>> ssl.
>> 
>>  Bonsoir,
>> 
>> Pardon mais il me semble que lorsque l'on ouvre un port SSL comme le 
>> 443
>> pour le HTTPS, on ne peut présenter qu'un seul certificat par port
>> ouvert.
>> 
>> En effet comment Apache pourrait négocier la connexion SSL alors que
>> l'URL mentionnait le "virtual host" n'a pas encore été transmise.
>> 
>> Pour moi, présenter des certificats différents requièrent d'ouvrir des
>> ports différents.
>> 
>> Est-ce juste ou ai-je raté quelque chose ?
> 
> 
> Non, c'est faux, il y a un proto qui permet de présenter plusieurs
> certifs sur une même ip.
> 
> -> [SNI](https://fr.wikipedia.org/wiki/Server_Name_Indication)
> 
> ça permet d'avoir plusieurs domaines TLS sur une même IP.

Par contre, ça ne résout pas le problème initial.

> 
> 
>> 
>> Bonne soirée
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull


More information about the gull mailing list