Articles portant le tag ‘ssl’

Réplication MySQL sécurisée avec stunnel

Testé sur Debian Squeeze et Debian Wheezy – MySQL 5.1 – stunnel 4.29 et 4.52

La réplication MySQL permet d’assurer la redondance des bases MySQL entre plusieurs serveurs, j’en avais déjà parlé ici. L’inconvénient avec cette réplication basique est qu’elle n’est pas sécurisée, les données sont transmises en clair entre les 2 machines. Sur le même réseau local c’est pas dramatique, mais entre 2 serveurs internet c’est plus embêtant. Nous allons voir ici comment crypter les échanges entre les 2 serveurs.
Lire la suite »

Dossiers Webdav Apache et Windows 7

Serveur Debian Lenny – Apache 2.2.9 avec mod_dav
Clients Windows 7 32 et 64 bits

Microsoft n’aime décidément pas les dossiers Webdav, surtout quand ils sont servis par un serveur non MS, Apache par exemple. Sous Windows 7, si on essaie d’ouvrir un dossier Webdav servi par Apache avec l’authentification basique, on obtient l’erreur Le dossier que vous avez entré ne semble pas être valide. Choisissez-en un autre. J’aime beaucoup les messages d’erreur Windows, c’est bon de se sentir aidé…

Le problème est lié au type d’authentification utilisé par Apache, l’authentification basique (AuthType Basic) n’est pas supportée par Windows 7. En http on pourrait comprendre pour des raisons de sécurité, le mot de passe est transmis en clair, mais en https c’est pareil alors que la connexion est cryptée dans un tunnel SSL. Il y avait déjà eu le même problème avec Vista, réglé par un patch, mais pour l’instant rien ne s’annonce pour Windows 7.

Que peut-on faire?
Lire la suite »

Supprimer la passphrase d’un certificat ssl apache

Testé sous Debian 5.07 Lenny

Un certificat ssl avec passphrase (phrase de passe selon l’Académie Française) sous Apache, au premier abord ça semble bien pour la sécurité mais dans les faits c’est un très bon moyen d’avoir un serveur en rade sans savoir pourquoi: la passphrase est demandée à chaque redémarrage d’Apache, il faut donc une intervention humaine. Si Apache est redémarré par un script ou un reboot du serveur il restera à attendre cette fichue passphrase qui a peu de chance d’arriver comme ça…

La solution est de supprimer la passphrase de la clé privée, qu’on aura sauvegardée au préalable :

cp -a mondomaine.key mondomaine.key.sav
openssl rsa -in mondomaine.key.sav -out mondomaine.key
chmod 400 mondomaine.key

Lien

How can I get rid of the pass-phrase dialog at Apache startup time?

Autorités de certification sous KDE4

Testé sous Kubuntu 9.04 / KDE 4.3.0

Après moult hésitations je me suis décidé à passer sous KDE4, mais je pense que j’aurais du continuer à hésiter encore un peu… Certes l’interface est bien jolie et paramétrable à souhait, la stabilité est correcte, mais il y a des lacunes énervantes sur des fonctions majeures, comme le SSL et les certificats. Il semble que KDE gère (mal) sa propre liste d’autorités de certification. CAcert par exemple n’est pas reconnu, alors qu’il se trouve dans le magasin global de certificats de la distribution.

On peut contourner le problème en utilisant le magasin global plutôt que celui de KDE avec la commande suivante :

sudo ln -sf /etc/ssl/certs/ca-certificates.crt /usr/share/kde4/apps/kssl/ca-bundle.crt

Il me reste à trouver comment utiliser mes certificats persos avec KMail, j’y retourne…

Liens:

https://bugs.kde.org/show_bug.cgi?id=162485

https://bugs.launchpad.net/kdelibs/+bug/295266

Mise en place de Webdav / SSL sur Debian

Testé sur Debian testing « Lenny »

Ce memo me sert pour configurer WebDAV avec cryptage SSL sur un serveur Apache. J’utilise WebDAV pour offrir un accès fichiers aux webmasters des sites que j’héberge, c’est plus souple et plus sûr que le FTP. Cette config est très basique, Webdav permet un paramétrage très fin des autorisations, notamment avec la directive <Limit …>

Lire la suite »