Certificat, sous domaine et redirection

l.plot · July 9, 2021, 2:06pm

Veuillez remplir les champs ci-dessous pour que nous puissions vous aider. Remarque : vous devez fournir votre nom de domaine pour obtenir de l’aide. Les noms de domaine des certificats émis sont tous rendus publics dans les journaux de Transparence de Certificat (par exemple, crt.sh | example.com). Par conséquent, le fait de ne pas indiquer votre nom de domaine ici n’aide pas à le garder secret, mais rend plus difficile pour nous le fait de vous aider.

Je peux lire des réponses en Anglais : non ou alors non technique

Mon nom de domaine est : imagein-sante.fr

J’ai exécuté cette commande :

Elle a produit cette sortie :

Mon serveur Web est (inclure la version) : Apache/2.4.38

Le système d’exploitation sur lequel mon serveur Web s’exécute est (version incluse) : Debian GNU/Linux 10

Mon hébergeur, le cas échéant, est : OVH

Je peux me connecter à un shell root sur ma machine (oui ou non, ou je ne sais pas) : Oui

J’utilise un panneau de configuration pour gérer mon site (non, ou fournit le nom et la version du panneau de configuration) : non

Bonjour, j'ai sur le poste de mon patron le logiciel Kaspersky qui émet une alerte de certification sur le domaine "imagein-sante.fr", en disant que cette adresse n'est pas sur, car le certificat de https://imagein-sante.fr est web.imagein-sante.fr

J'ai le site web qui est accessible sur l'url www.imagein-sante.fr, avec des alias en imagein-sante.fr, www.imagein-sante.com et imagein-sante.com (avec une redirection dans le vhost des alias vers https://www.imagein-sante.fr).

L'adresse web.imagein-sante.fr est défini comme reverse dns dans ovh.
Et je n'ai pas de trace d'une configuration de site en "web.imagein-sante.fr" sur apache.
Si je tape l'url "web.imagein-sante.fr" j'ai une page blanche (mais je sais pas pourquoi)

Si je tape l'url "imagein-sante.fr" j'ai bien une redirection directement vers "https://www.imagein-sante.fr"
Si je tape "https://imagein-sante.fr", le navigateur m'affiche une erreur de certificat :

Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour imagein-sante.fr. Le certificat n’est valide que pour web.imagein-sante.fr.
 
Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN

Dans OVH, dans la zone dns de imagein-sante.fr j'ai ceci concernant "web" :

web.imagein-sante.fr CNAME imagein-sante.fr.

La personne qui a mis en place le site et la configuration n'est plus la. Du coup je sais pas

Merci de vos retours et de votre aide

rg305 · July 9, 2021, 6:38pm

Hi @l.plot, please excuse my English - and welcome to the LE community forum

LE prefers IPv6 when present.
I can connect to your domain via IPv4 but NOT via IPv6:

curl -Iki4 http://imagein-sante.fr/
HTTP/1.1 301 Moved Permanently
Date: Fri, 09 Jul 2021 18:33:56 GMT
Server: Apache/2.4.38 (Debian)
Location: https://www.imagein-sante.fr/
Content-Type: text/html; charset=iso-8859-1

curl -Iki6 http://imagein-sante.fr/
curl: (56) Recv failure: Connection reset by peer

curl -Iki4 https://www.imagein-sante.fr/
HTTP/1.1 200 OK
Date: Fri, 09 Jul 2021 18:35:28 GMT
Server: Apache/2.4.38 (Debian)
Link: <https://www.imagein-sante.fr/wp-json/>; rel="https://api.w.org/"
Link: <https://www.imagein-sante.fr/>; rel=shortlink
Content-Type: text/html; charset=UTF-8

curl -Iki6 https://www.imagein-sante.fr/
curl: (7) Failed to connect to www.imagein-sante.fr port 443: Connection timed out

l.plot · July 19, 2021, 1:04pm

Hi @rg305, thank you for your response.

Dans la configuration dns d'ovh du nom de domaine imagein-sante.fr j'ai bien une entrée AAAA vers l'adresse IPv6 du serveur.

Est ce qu'il doit y avoir un configuration d'apache pour la prise en compte de l'IPv6 sur le serveur ?

rg305 · July 19, 2021, 2:03pm

Hi @l.plot
Yes, please show the output of:
sudo apachectl -S

l.plot · July 20, 2021, 7:13am

La commande me retourne ceci :

VirtualHost configuration:
*:80                   is a NameVirtualHost
         default server web.imagein-sante.fr (/etc/apache2/sites-enabled/000-web.imagein-sante.fr.conf:2)
         port 80 namevhost web.imagein-sante.fr (/etc/apache2/sites-enabled/000-web.imagein-sante.fr.conf:2)
         port 80 namevhost rh.imagein-sante.fr (/etc/apache2/sites-enabled/rh.imagein-sante.fr.conf:1)
                 alias harmony-rh.imagein-sante.fr
                 alias harmony-rh.imagein-sante.com
                 alias rh.imagein-sante.com
         port 80 namevhost wordpress.imagein-sante.fr (/etc/apache2/sites-enabled/wordpress.imagein-sante.fr.conf:1)
         port 80 namevhost www.imagein-sante.fr (/etc/apache2/sites-enabled/www.imagein-sante.fr.conf:2)
                 alias imagein-sante.fr
                 alias imagein-sante.com
                 alias www.imagein-sante.com
         
*:443                  is a NameVirtualHost
         default server web.imagein-sante.fr (/etc/apache2/sites-enabled/000-web.imagein-sante.fr.conf:19)
         port 443 namevhost web.imagein-sante.fr (/etc/apache2/sites-enabled/000-web.imagein-sante.fr.conf:19)
         port 443 namevhost rh.imagein-sante.fr (/etc/apache2/sites-enabled/rh.imagein-sante.fr.conf:10)
         port 443 namevhost rh.imagein-sante.fr (/etc/apache2/sites-enabled/rh.imagein-sante.fr.conf:31)
                 alias harmony-rh.imagein-sante.fr
                 alias harmony-rh.imagein-sante.com
                 alias rh.imagein-sante.com
         port 443 namevhost www.imagein-sante.fr (/etc/apache2/sites-enabled/www.imagein-sante.fr.conf:20)
         port 443 namevhost imagein-sante.fr (/etc/apache2/sites-enabled/www.imagein-sante.fr.conf:41)
                 alias imagein-sante.com
                 alias www.imagein-sante.com
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex mpm-accept: using_defaults
Mutex watchdog-callback: using_defaults
Mutex rewrite-map: using_defaults
Mutex ssl-stapling-refresh: using_defaults
Mutex ssl-stapling: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

J'ai supprimé les info qui n’étaient pas lié au domaine imagein-sante.fr

rg305 · July 20, 2021, 12:58pm

Please show these two files:
/etc/apache2/sites-enabled/rh.imagein-sante.fr.conf
/etc/apache2/sites-enabled/www.imagein-sante.fr.conf

l.plot · July 20, 2021, 1:17pm

rh.imagein-sante.fr.conf :

<VirtualHost *:80>
    ServerAdmin webmaster@harmony-rh.fr
    ServerName  rh.imagein-sante.fr
    ServerAlias harmony-rh.imagein-sante.fr harmony-rh.imagein-sante.com rh.imagein-sante.com

    RewriteEngine On
    RewriteRule ^ https://rh.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@harmony-rh.fr
    ServerName  rh.imagein-sante.fr

    ErrorLog /var/log/apache2/rh.imagein-sante.fr-error.log
    TransferLog /var/log/apache2/rh.imagein-sante.fr-access.log

    SSLCertificateFile /etc/letsencrypt/live/harmony-rh.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/harmony-rh.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/harmony-rh.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf

    DocumentRoot /var/www/imagein-sante.fr/www/public
    <Directory /var/www/imagein-sante.fr/www/public/>
        AllowOverride All
        Options -Indexes +FollowSymLinks
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@harmony-rh.fr
    ServerName  rh.imagein-sante.fr
    ServerAlias harmony-rh.imagein-sante.fr harmony-rh.imagein-sante.com rh.imagein-sante.com

    RewriteEngine On
    RewriteRule ^ https://rh.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]
</VirtualHost>

Je vois que les fichiers LE correspondent au nom de domaine "harmony-rh.fr" alors que c'est pour le site rh.imagein-sante.fr.
Je regarde pour faire la modification dans l’après-midi.

www.imagein-sante.fr.conf :

<VirtualHost *:80>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr
    ServerAlias imagein-sante.fr imagein-sante.com www.imagein-sante.com

    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well-known/
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]

    DocumentRoot /var/www/imagein-sante.fr/www/public
    <Directory /var/www/imagein-sante.fr/www/public/>
        AllowOverride All
        Options -Indexes +FollowSymLinks
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr

    ErrorLog /var/log/apache2/www.imagein-sante.fr-error.log
    TransferLog /var/log/apache2/www.imagein-sante.fr-access.log

    SSLCertificateFile /etc/letsencrypt/live/www.imagein-sante.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/www.imagein-sante.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.imagein-sante.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf

    DocumentRoot /var/www/imagein-sante.fr/www/public
    <Directory /var/www/imagein-sante.fr/www/public/>
        AllowOverride All
        Options -Indexes +FollowSymLinks
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  imagein-sante.fr
    ServerAlias imagein-sante.com www.imagein-sante.com

    RewriteEngine On
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]
</VirtualHost>

rg305 · July 20, 2021, 1:56pm

That is good.
Let us know if that fixes things.

l.plot · August 12, 2021, 9:39am

Bonjour, je reviens après un moment, les vacances sont passées par là.

J'ai voulu faire la génération des certificats via certbot pour le domaine rh.imagein-sante.fr, mais j'ai une erreur :

Failed authorization procedure. rh.imagein-sante.fr (http-01): urn:ietf:params:acme:error:connection :: The server could not connect to the client to verify the domain :: Fetching https://rh.imagein-sante.fr/.well-known/acme-challenge/xwx7PSPrbDwy2ExkBI71X7j-NbsMkdL6P: Timeout during connect (likely firewall problem)

Dans mon paramétrage OVH, l'adresse rh.imagein-sante.fr est un CNAME vers www, et www.imagein-sante.fr a bien un A vers l'adresse ip du serveur.
Est-ce qu'il faudrait faire un enregistrement dns A pour rh.imagein-sante.fr vers l'adresse ip du serveur au lei ude passer par un CNAME ?

Je ne vois pas non plus de blocage firewall, la simulation de renouvellement de www.imagein-sante.fr ne m'indique aucune erreur.

Merci de vos retours

rg305 · August 12, 2021, 3:14pm

There is a bad redirection:

curl -Iki https://rh.imagein-sante.fr/.well-known/acme-challenge/Test-File-1234
HTTP/1.1 302 Found
Date: Thu, 12 Aug 2021 15:13:46 GMT
Server: Apache/2.4.38 (Debian)
Location: https://www.imagein-sante.fr/
Content-Type: text/html; charset=UTF-8

l.plot · September 27, 2021, 1:16pm

Salut à tous,
J'ai pu faire la modification concernant le certificat pour rh.imagein-sante.fr, je n'ai plus de soucis le concernant.

Cependant, j'ai toujours le soucis concernant "imagein-sante.fr" et "www.imagein-sante.fr"

Si je tape https://imagein-sante.fr => j'ai une alerte du navigateur car il ne s'agit pas du bon certificat (certificat "web.imagein-sante.fr").

Si je tape https://www.imagein-sante.fr => tout va bien, l'affichage du certificat me dit qu'il est bien au nom (courant et dns) de www.imagein-sante.fr.

Dans mon fichier de config apache j'ai ceci :

<VirtualHost *:80>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr
    ServerAlias imagein-sante.fr imagein-sante.com www.imagein-sante.com

    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well-known/
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]

   ....

</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr

    ErrorLog /var/log/apache2/www.imagein-sante.fr-error.log
    TransferLog /var/log/apache2/www.imagein-sante.fr-access.log

    SSLCertificateFile /etc/letsencrypt/live/www.imagein-sante.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/www.imagein-sante.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.imagein-sante.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf

    ...

</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  imagein-sante.fr
    ServerAlias imagein-sante.com www.imagein-sante.com

    RewriteEngine On
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]
</VirtualHost>

Chez ovh, "imagein-sante.fr" point en A et AAAA vers le serveur, et j'ai "www.imagein-sante.fr" en CNAME vers "imagein-sante.fr".

Je vais voir pour supprimer le CNAME et faire un A et AAAA pour "www.imagein-sante.fr" comme pour "imagein-sante.fr".

Mais j'avais cru comprendre que le CNAME était la justement pour ca.
Ou est que je dois laisser le CNAME et voir autre chose ?

curl -Iki4 https://imagein-sante.fr
HTTP/1.1 301 Moved Permanently
Date: Mon, 27 Sep 2021 13:13:22 GMT
Server: Apache/2.4.38 (Debian)
Location: https://www.imagein-sante.fr/
Content-Type: text/html; charset=iso-8859-1

curl -Iki6 https://imagein-sante.fr
curl: (7) Couldn't connect to server

curl -Iki6 https://www.imagein-sante.fr
curl: (7) Couldn't connect to server

curl -Iki4 https://www.imagein-sante.fr
HTTP/1.1 200 OK
Date: Mon, 27 Sep 2021 13:14:49 GMT
Server: Apache/2.4.38 (Debian)
Link: <https://www.imagein-sante.fr/wp-json/>; rel="https://api.w.org/"
Link: <https://www.imagein-sante.fr/>; rel=shortlink
Content-Type: text/html; charset=UTF-8

bruncsak · September 27, 2021, 1:29pm

Dans le configuration de <VirtualHost *:443> et ServerName imagein-sante.fr il n' y a pas de definition de SSLCertificate... . Est-ce que c'est inherité par hasard de la section global?

l.plot · September 27, 2021, 1:37pm

@bruncsak C'est une bonne question, je sais pas du tout. Je tatonne sur l'utilisation de LE et configuration Apache. J'apprends sur le coup ^^

Je vais rajouter dans la seconde section 443 les lignes correspondant au SSL.
Par ce que pour moi (bêtement) cette section sert de redirection si on tape directement https://imagein-sante.fr.

Est ce que je devrais pas ajouter une ligne "ServerAlias imagein-sante.fr" dans la première section 443 ?
(je vais testé les deux séparément, puis les deux en même temps).

l.plot · September 27, 2021, 1:50pm

J'ai testé l'une, puis l'autre, puis les deux en même temps, et à chaque fois je n'ai plus eu l'alerte sur le certificat.

Je me pose donc cette question :
Si je rajoute le ServerAlias dans la première section 443, la seconde section ne sert plus a rien ou je dois quand même la maintenir ?

Est ce que juste ceci est suffisant comme configuration ?

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr
    ServerAlias imagein-sante.fr imagein-sante.com www.imagein-sante.com

    ErrorLog /var/log/apache2/www.imagein-sante.fr-error.log
    TransferLog /var/log/apache2/www.imagein-sante.fr-access.log

    SSLCertificateFile /etc/letsencrypt/live/www.imagein-sante.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/www.imagein-sante.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.imagein-sante.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf

Merci en tout cas, car ça a résolut mon soucis coté navigateur.
Je pense que cela va aussi résoudre l'alerte de Kaskersky de mon patron.

bruncsak · September 27, 2021, 1:57pm

Oui, c'est devrait être suffisent. Par contre, il faudrait generer un certificat nouveau, qui contient toutes les nomes qui se trouvent comme alias dans le config de virtualhost.

Il est aussi possible de rajouter RewriteRule si un seul domain devrait être utiliser en production.

l.plot · September 27, 2021, 2:02pm

A quel niveau le RewriteRule ?

Actuellement, j'ai ceci dans mon fichier de conf :

<VirtualHost *:80>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr
    ServerAlias imagein-sante.fr imagein-sante.com www.imagein-sante.com

    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/\.well-known/
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]

    ...
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  www.imagein-sante.fr
    ServerAlias imagein-sante.fr imagein-sante.com www.imagein-sante.com

    ErrorLog /var/log/apache2/www.imagein-sante.fr-error.log
    TransferLog /var/log/apache2/www.imagein-sante.fr-access.log

    SSLCertificateFile /etc/letsencrypt/live/www.imagein-sante.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/www.imagein-sante.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.imagein-sante.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf

    ...
</VirtualHost>

<VirtualHost *:443>
    ServerAdmin webmaster@imagein-sante.fr
    ServerName  imagein-sante.fr
    ServerAlias imagein-sante.com www.imagein-sante.com

SSLCertificateFile /etc/letsencrypt/live/www.imagein-sante.fr/cert.pem
    SSLCertificateChainFile /etc/letsencrypt/live/www.imagein-sante.fr/chain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.imagein-sante.fr/privkey.pem
    Include /etc/letsencrypt/options-ssl-apache.conf


    RewriteEngine On
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]
</VirtualHost>

bruncsak · September 27, 2021, 2:08pm

Quelque chose comme ça:

    RewriteEngine On
    RewriteCond %{HTTP_HOST} !^www\.imagein-sante\.fr$
    RewriteRule ^ https://www.imagein-sante.fr%{REQUEST_URI} [L,QSA,R=permanent]

bruncsak · September 27, 2021, 2:26pm

Encore une petite chose: il semble que le connectivité IPv6 ne fonction pas.

l.plot · September 27, 2021, 2:42pm

Oui, c'est ce que @rg305 avait remonté également.

Faut que je regarde au niveau d'OVH pour ca du coup.
Il doit y avoir une activation, car le serveur à bien une adresse ipv6 sur le portail d'ovh, et les dns en AAAA point dessus.

Je vais regarder dans leur doc comment faire

rg305 · September 27, 2021, 2:57pm

Try:
grep -Ri listen /etc/apache2/
grep -Ri :: /etc/apache2/