« Apache/Problèmes connus » : différence entre les versions

Contenu supprimé Contenu ajouté
Aucun résumé des modifications
Ligne 58 :
 
== Erreurs HTTPS ==
#=== {{rouge|Échec de la connexion sécurisée. SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée. (Code d'erreur : ssl_error_rx_record_too_long) }} : le===
Le module d'Apache est activée mais son vhost est absent ou sa configuration ne contient pas <code>SSLEngine on</code>.
 
#=== {{rouge|curl: (35) error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol}} : il faut refaire comme il faut la configuration Apache ci-dessus. ===
# {{rouge|curl: (60) SSL certificate problem: self signed certificate}} : c'est que la connexion fonctionne, les visiteurs doivent juste acquitter le message de leur navigateur ''Cette connexion n'est pas certifiée''.
Il faut refaire comme il faut la configuration Apache ci-dessus.
# {{rouge|Enter passphrase for SSL/TLS keys for}} à chaque relance Apache : vérifier la présence de la ligne suivante dans la configuration : <code>SSLPassPhraseDialog exec:/etc/ssl/nomdedomaine.fr.pwd</code>.
 
# {{blocage du contenu mixte actif (mixed active content)}} : il faut remplacer HTTP par HTTPS dans le code source du site Web.
=== {{rouge|curl: (60) SSL certificate problem: self signed certificate}} ===
# Dans les logs SSL :
# {{rouge|curl: (60) SSL certificate problem: self signed certificate}} : cC'est que la connexion fonctionne, les visiteurs doivent juste acquitter le message de leur navigateur ''Cette connexion n'est pas certifiée''.
## {{rouge|RSA certificate configured for 127.0.0.1:443 does NOT include an ID which matches the server name}} : il faut générer la clé en utilisant un {{w|FQDN}}.
 
## {{rouge|CSR contains unsupported extensions}} : le mot de passe du .csr contient des caractères spéciaux incompatibles, comme ! ou _. Il faut se contenter de l'alphanumérique.
=== {{rouge|Enter passphrase for SSL/TLS keys for}} à chaque relance Apache ===
# Dans les logs Apache :
# {{rouge|Enter passphrase for SSL/TLS keys for}} à chaque relance Apache : vérifierVérifier la présence de la ligne suivante dans la configuration : <code>SSLPassPhraseDialog exec:/etc/ssl/nomdedomaine.fr.pwd</code>. Sinon, fdaire sauter le mot de passe :
## {{rouge|Server should be SSL-aware but has no certificate configured}} : réinstaller clé SSL.
openssl rsa -in nomdedomaine.fr.key -out nomdedomaine.fr.key.nopass
## {{rouge|Init: Unable to read server certificate from file ...csr}} : le .cert est introuvable.
 
## {{rouge|SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: TRUSTED CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?}} : il faut convertir le certificat SSL ainsi :
=== {{rouge|blocage du contenu mixte actif (mixed active content)}} ===
##:<source lang=bash>
# {{blocage du contenu mixte actif (mixed active content)}} : ilIl faut remplacer HTTP par HTTPS dans le code source du site Web.
 
#=== Dans les logs SSL :===
##==== {{rouge|RSA certificate configured for 127.0.0.1:443 does NOT include an ID which matches the server name}} : il faut générer la clé en utilisant un {{w|FQDN}}.====
Il faut générer la clé en utilisant un {{w|FQDN}}.
 
==== {{rouge|CSR contains unsupported extensions}} ====
## {{rouge|CSR contains unsupported extensions}} : leLe mot de passe du .csr contient des caractères spéciaux incompatibles, comme ! ou _. Il faut se contenter de l'alphanumérique.
 
#=== Dans les logs Apache :===
##==== {{rouge|Server should be SSL-aware but has no certificate configured}} : réinstaller clé SSL.====
Réinstaller clé SSL.
 
##==== {{rouge|Init: Unable to read server certificate from file ...csr}} : le .cert est introuvable.====
Le .cert est introuvable.
 
##==== {{rouge|SSL Library Error: error:0906D06C:PEM routines:PEM_read_bio:no start line (Expecting: TRUSTED CERTIFICATE) -- Bad file contents or format - or even just a forgotten SSLCertificateKeyFile?}} : il faut convertir le certificat SSL ainsi :====
Il faut convertir le certificat SSL ainsi :
##:<source lang=bash>
openssl x509 -inform der -in /etc/apache2/ssl/apache.crt -outform PEM -out /etc/apache2/ssl/apache.pem
vim /etc/apache2/sites-enabled/default-ssl.conf
Ligne 76 ⟶ 96 :
service apache2 restart
</source>
 
##:Sinon il faut retirer les {{wt|BOM}} du certificat.
##:Sinon il faut retirer les {{wt|BOM}} du certificat.

Sinon il faut retirer les autres fichiers du dossier contenant la clé et de celui du certificat (un autre), en leur conférant au maximum du <code>chmod -R 644</code>{{réf?}}.
 
## {{rouge|Certificate and private key do not match}} : le certificat doit être un fichier .pem et la clé .key. Il est possible de le vérifier avec la commande suivante<ref>http://stackoverflow.com/questions/23652680/postfix-cannot-get-rsa-private-key-from-file-etc-ssl-private-server-key-disabl</ref> :
==== {{rouge|Certificate and private key do not match}} ====
##:<source lang=bash>
## {{rouge|Certificate and private key do not match}} : leLe certificat doit être un fichier .pem et la clé .key. Il est possible de le vérifier avec la commande suivante<ref>http://stackoverflow.com/questions/23652680/postfix-cannot-get-rsa-private-key-from-file-etc-ssl-private-server-key-disabl</ref> :
##:<source lang=bash>
$ (openssl x509 -noout -modulus -in /etc/ssl/certs/ssl-cert-snakeoil.pem | openssl md5 ;openssl rsa -noout -modulus -in /etc/ssl/private/ssl-cert-snakeoil.key | openssl md5) | uniq
(stdin)= 8cf9b840c3239f653be542149497f047
</source>
 
##:Quand les deux certificats correspondent il n'y a qu'une seule ligne, comme ci-dessus. Il faut donc retrouver le bon ou régénérer la paire. Pour y voir plus clair, la commande <code>file</code> permet de les identifier :
##:<source lang=bash>
 
##:<source lang=bash>
$ file /etc/ssl/*
nomdedomaine.fr.crt: PEM certificate request
Ligne 97 ⟶ 123 :
apache.crt: PEM certificate
</source>
 
## {{rouge|AH01909: nomdedomaine.fr:443:0 server certificate does NOT include an ID which matches the server name}} : le certificat installé est prévu pour un autre domaine ou sous-domaine. Il faut peut-être en acheter un pour tous les sous-domaines, ce qui se dit ''certificats SSL à validation de domaine'' (''{{w|wildcard certificate|lang=en}}'' en anglais).
==== {{rouge|AH01909: nomdedomaine.fr:443:0 server certificate does NOT include an ID which matches the server name}} ====
## {{rouge|Pass phrase incorrect for key}} : soit on peut regénérer le fichier de la directive <code>SSLPassPhraseDialog</code>, soit on fait sauter le mot de passe demandé par la clé : <code>openssl rsa -in privateAvecPassPhrase.key -out private.SansPassPhrase.key.</code>
## {{rouge|AH01909: nomdedomaine.fr:443:0 server certificate does NOT include an ID which matches the server name}} : leLe certificat installé est prévu pour un autre domaine ou sous-domaine. Il faut peut-être en acheter un pour tous les sous-domaines, ce qui se dit ''certificats SSL à validation de domaine'' (''{{w|wildcard certificate|lang=en}}'' en anglais).
 
==== {{rouge|Pass phrase incorrect for key}} ====
## {{rouge|Pass phrase incorrect for key}} : soitSoit on peut regénérer le fichier de la directive <code>SSLPassPhraseDialog</code>, soit on fait sauter le mot de passe demandé par la clé : <code>openssl rsa -in privateAvecPassPhrase.key -out private.SansPassPhrase.key.</code>
 
== Erreurs .htaccess ==