Bonjour,
J’ai monté un vhost sur apache avec authentification SSL client.
Dans les log de mon vhost, je ne vois pas les erreurs de connexions des client qui n’ont pas de certificat mais je vois bien les autres erreur du style favicon.ico.
Ou doit-on normalement trouver ces erreurs de connexions? c’est bien dans le ErrorLog du vhost non?
Merci.
Par défaut oui dans ton fichier error.log si tu n’as pas spécifier de fichier de log spécifique au vhost sinon le fichier error log du vhost.
Sinon pour un fichier de log spécifique au vhost :
<Virtualhost ton.ip:443>
ErrorLog /var/log/apache2/VHOST1-HTTPS_error.log
</Virtualhost>Si tu veux des logs plus détaillés , tu peux ajouter (toujours dans la partie virtualhost) :
Loglevel XYZ
XYZ peut être :
warn
debug
info
je sais pas si j’en ai oublié , au pire va voir sur la doc d’apache.
Bonjour,
J’ai effectivement les instructions de log dans mon vhost:
LogLevel warn
ErrorLog /var/log/apache2/vhost1.error.log
CustomLog /var/log/apache2/vhost1.ssl.request.log “%t %h %{SSL_CLIENT_S_DN_CN}x “%{SSL_CLIENT_V_REMAIN}x jours avant expiration du certificat” %{SSL_PROTOCOL}x %{SSL_CIPHER}x “%r” %b %{SSL_CLIENT_VERIFY}x”
Je vois bien les access réussit dans vhost1.ssl.request.log mais je ne vois aucune erreur dans vhost1.error.log en cas d’essai de connexion d’un client sans certificat client… J’y vois quand même d’autre type d’erreur
Je devrais voir un message du style:
[error] SSL handshake failed (OpenSSL library error follows)
[error] OpenSSL: error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
De quoi cela peut-il venir?
Salut,
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
# LogLevel debug
# LogLevel errorPasses donc en mode “LogLevel debug” pour cette fois.
ps: service apache2 reload à la suite …
En mode debug je vois bien apparaitre la connexion refusé.
J’étais seulement descendu jusqu’au niveau notice… Dommage pour moi 
…
[Thu Oct 03 08:34:00 2013] [debug] ssl_engine_kernel.c(1884): OpenSSL: Write: SSLv3 read client certificate B
[Thu Oct 03 08:34:00 2013] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[Thu Oct 03 08:34:00 2013] [debug] ssl_engine_kernel.c(1903): OpenSSL: Exit: error in SSLv3 read client certificate B
[Thu Oct 03 08:34:00 2013] [info] [client zzz.zzz.zzz.zzz] SSL library error 1 in handshake (server xxx.xxx.fr:443)
[Thu Oct 03 08:34:00 2013] [info] SSL Library Error: 336105671 error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate No CAs known to server for verification?
[Thu Oct 03 08:34:00 2013] [info] [client zzz.zzz.zzz.zzz] Connection closed to child 4 with abortive shutdown (server xxx.xxx.fr:443)
La question maintenant: Cette erreur apparait au minimum avec un loglevel info. Ne devrait-elle pas apparaitre au niveau warn ou error plutôt?
Salut,
Il y a bien plus approprié en fait.
Si tu souhaites en apprendre davantage rien de tel que la documentation officielle, en Fr de surcroît.
j’avais lu la doc mais je n’avais pas compris qu’on pouvait mettre différents level en fonction des modules.
Dans mon cas, si je veux un log par defaut sur warn et pour le ssl un level sur info ce serait plutot:
non?