...
176.31.138.112 : HTTP et HTTPS
176.31.138.113 : HTTP redirect vers HTTPS (IP dédiée à forum-am.fr)
176.31.138.115 : HTTP
176.31.138.121 : HTTP redirect vers HTTPS
...
Se fier au DNS pour repérer sur quelle(s) IP(s) intervenir.
| Info | ||
|---|---|---|
| ||
pound sait faire du SNI (plusieurs certificat par adresse IP) mais pas du SAN (plusieurs hostname fqdn attachés au certificat) : donc si besoin d'utiliser un certificat multiple SAN, il faut dédier une IP et créer les ports d'écoute sur pound |
Etape 1 : Connexion
Se connecter en root sur xanthe.gorgu.net
...
| Bloc de code | ||
|---|---|---|
| ||
cp FILENAME.pem /var/chroot/pound/etc/ |
Etape 3 : cas 1 : Ajouter le certificat sur le port d'écoute HTTPS de l'IP
...
| Bloc de code | ||||||
|---|---|---|---|---|---|---|
| ||||||
ListenHTTPS ## cerificate for *.gadz.org Address 176.31.138.112 Port 443 Cert "/var/chroot/pound/etc/forum-am.fr.pem" Cert "/var/chroot/pound/etc/gadz.org.pem" CAList "/var/chroot/pound/etc/RapidSSLCa.pem" AddHeader "X-Forwarded-Proto: https" AddHeader "X-Forwarded-Port: 443" xHTTP 1 DisableSSLv3 DisableSSLv2 End |
| Info | ||
|---|---|---|
| ||
Si un site ne correspond à aucune entrée FQDN renseignée dans les informations des différents certificats, alors le trafic sera chiffré à l'aide du premier certificat de la liste (ce qui peut engendrer des erreurs de certificat côté client). |
Etape 3 : cas 2 : Ajouter une IP virtuelle / Créer un port d'écoute dédié / Ajouter le certificat sur le port d'écoute HTTPS de l'IP
Il faut dans ce cas :
1- Ajouter une IP virtuelle aux interfaces sur /etc/network/interfaces
2- Créer un port d'écoute (en se basant sur ceux déjà existants) sur /etc/pound/pound.cfg
3- Reproduire l'étape 3 cas 1 sur le nouveau port d'écoute de la nouvelle IP
| Info |
|---|
Ne pas oublier de mettre à jour le SVN avec les modifications effectuées !! |
Etape 3 4 : Redémarrer le service pound
...