[PHP] Activer les pages https sur apache - comment géré ca?

Logiciel & apps Programmation
1

bonjour, j’ai un site web acompagné d’une base mysql et apache.
En ce moment, j’utilise une variable session que je passe en paramètre de page en page. j’ai essayé les cookies et les variable de sessions. Mais cette fois, je voudrai mettre mon site en https pour que se soit plus facile, mais bon j’y connais rien dans la config de apache.
si qq’un sais comment faire !!!

merci

2

Bonjour,

j’ai deux questions à te poser :

  • En quoi passer ton site web en SSL t’apporterait quelquechose au niveau de la facilité de gérer une session ?
  • Pourrais-tu donner plus de détails sur ton serveur pour qu’on sache comment te proposer de faire fonctionner ssl ?
3

windows? linux?

4

pour faire du SSL, il te faut un certificat SSL (logique) correctement installé et paramêtré dans ton serveur :jap: …

tu peux te créer ton propre certificat (certificat auto-signé), mais dans ce cas les gens auront un avertissement de sécurité (certificat non reconnus) … ceci dis, c’est parfaitement fonctionnel (connexion crypté, etc …)

voici un tuto pour mettre en place apache+mod_ssl sous win32, et créer un certificat autosigné avec openssl … la procédure sous *nux doit être sensiblement similaire :oui:

http://netsafe.free.fr/index.php?Chap=A1

5

KisSCoOl > voici l’équivalent pour linux

6

voici un httpd.conf que j utilise (apache2)

dans les modules

LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so
<IfDefine SSL>
LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so
</IfDefine>
LoadModule bucketeer_module /usr/lib/apache2/modules/mod_bucketeer.so

pour rendre un rep accessible uniquement en HTTPS avec authentification htaccess…

Alias /mysql/ "/usr/phpmyadmin/"

<Directory "/usr/phpmyadmin">
<IfDefine SSL>
SSLRequireSSL
</IfDefine>

Options FollowSymLinks

Options none
AllowOverride None
Order allow,deny
Allow from all
AuthType Basic
AuthName &quot;Restricted Access&quot;
AuthUserFile /etc/phpmyadmin.htpasswd
&lt;Limit GET&gt;
   require valid-user
&lt;/Limit&gt;

</Directory>

plus loin la conf SSL


<IfModule mod_ssl.c>
Include /etc/apache2/ssl.conf
</IfModule>

################ ssl.conf
#ta clé privée (faut la generer => CA.sh)

SSLCertificateKeyFile /etc/apache2/ssl.key/server.key

certif / cle public

SSLCertificateFile /etc/apache2/ssl.crt/server.crt


#le certif de l authorite de certif (CA) pas obligatoire (voir CA.sh)
#SSLCertificateChainFile /etc/apache2/ssl.crt/ca.crt

7

si tu mets pas le certificat CA, les gens qui surfent sur ton site ne pourront jamais approuver ton entité de certification et auront toujours un message leur parlant du trusting du CA

8

oui exacte, mais on parle de "self" CA non ?

9

oui mais tu peux faire enregistrer ton CA (si tu le configures toi même) par tes clients/visiteurs comme entité de certification valide :oui:

edit : le fait que ce soit self signed n’enlève rien au fait que ce soit un CA, et qu’il sera considéré comme entité ayant émis les autres certificats. :oui:

10

j’avais bien compris pour le self :p,

tu veux dire que ils n auraient pas a cliquer sur la boite de dialogue a chaque fois ? c ça meme si c un self CA ?

11

oui et non, ils auraient à le faire la première fois, et ensuite sur le site tu mets un petit message genre “vous pouvez installer le certificat de CA ci-joint pour ne plus avoir le message d’avertissement”, patatati patata … et après c’est good (normalement :D) …

12

ils faut qu’ils puissent installer le .crt du CA et puis c’est bon, leur browser trustera les certificats émis par le CA :wink:

pinaise je radotte :paf: