Souci apache et ssl

Bonjour à tous.

J’ai installé dernièrement OCS et GLPI sur le même serveur web.

Jusque là tout va bien, tout fonctionne bien et est joignable.

Là ou ça se corse un peu est que j’ai voulu mettre ssl en place.

Hors glpi se trouve dans /var/www/glpi

mais OcsInventory se trouve lui dans /usr/share/ocsinventory-reports/ocsreports

Je ne connais pas vraiment bien ssl et apache2 donc j’ai de sérieux soucis de configuration.

Lorsque j’essaie de joindre la page https://glpi

J’ai le droit à une magnifique erreur “Certificat non valide”.

Si quelqu’un s’y connait et saurait me renseigner, je suis preneur.

Merci beaucoup, cordialement.

C’est quoi comme certificat que tu as installé ? Un auto-signé à tous les coups, si tu n’as rien fait de spécial (auquel cas ce message d’erreur est tout à fait normal).

Si tu utilises Iceweasel, sur la page d’avertissement clique sur “Je comprends les risques” => “Ajouter une exception” => donne nous tout ce qui est marqué en dessous de “État du certificat”.
Ensuite pour tester si le SSL fonctionne malgré tout, toujours dans la même fenêtre décoche la case “Conserver cette exception de façon permanente” puis clique sur “Confirmer l’exception de sécurité” => tu as accès à ton site ?

Bonjour !

Oui c’est un certificat auto signé ? Ca pose un problème apparament ?

J’ai fais ta manipulation depuis Firefox 8 vu que mon poste est sous Windows, j’ai ajouté l’exception sans toutefois la conserver.

J’ai bien eut accès à la page index d’apache et ensuite à mes autres pages hébergées.

Le SSL doit donc fonctionner "correctement

J’ai cru voir aussi passer quelque chose comme Ce serveur essaye de s'identifier lui même

Ou quelque chose comme ça mais je n’arrive plus à remettre la main la dessus.

Merci de ton aide en tous les cas.

Le but du SSL n’est pas seulement de chiffrer les communications, mais également de s’assurer de l’identité du serveur (via un tiers de “confiance” appelé Autorité de Certification --CA-- qui est connu de tout le monde, et qui va signer ton certificat le rendant ainsi vérifiable).
Un certificat auto-signé n’a aucune liaison avec un CA connu des navigateurs, et donc il est impossible de vérifier l’origine du certificat.

Dans ton cas, il semblerait que ça soit un serveur interne (simple nom d’hôte plutôt que nom de domaine) donc ça va être coton d’obtenir un certificat signé par un CA classique.
Partant de là, deux solutions : soit tu continues à utiliser ton certificat auto-signé (auquel cas il faudra passer sur tous les postes/navigateurs pour l’autoriser), soit tu te crées un CA perso que tu vas utiliser pour générer des certificats signés proprement (auquel cas il faudra passer sur tous les postes/navigateurs pour autoriser ton CA). Et dans les deux cas, un certificat ça expire (que ça soit un auto-signé ou un CA) donc faudra répéter l’opération à expiration du certificat (un an par défaut, mais tu peux en générer avec une validité plus longue).

Si tu as beaucoup de postes le mieux serait probablement d’utiliser un FQDN (hote.domaine.com) ce qui te permettra d’obtenir un certificat signé par un CA classique, et de t’affranchir de ces problèmes. StartSSL fait même des certificats gratos (c’est le seul je crois). Attention toutefois, il y a une étape de vérification de l’identité pour vérifier que tu possèdes bien le domaine pour lequel tu demandes un certificat. Il faut donc réellement avoir un nom de domaine à toi.

D’accord, merci pour ces éclaircissements, ça m’aide beaucoup.

En fait c’est un serveur interne donc local, juste accessible par le lan et moi-même.

Ce serveur héberge mon ocs et glpi. Hors ce certificat est apparament nécessaire pour authentifier le package d’installation pour la remontée des informations vers le serveur semble il.

Pour créer le package d’installation, il est demandé de fournir un certificat du serveur en .pem (cacert.pem).

Bien que celui-ci ne soit pas signé, est il toutefois opérationnel pour créer mon installeur a ton avis ?

Merci pour ton aide.

Honnêtement : j’en ai pas la moindre foutue idée.
Je ne connais pas du tout ocs/glpi.

Le mieux c’est d’essayer. Au pire tu casseras tout mais comme tu auras fait des sauvegardes préalables ça n’aura aucune importance.