Installation d`Apache 2 avec le module mod_ssl patché
Transcription
Installation d`Apache 2 avec le module mod_ssl patché
Installation d'Apache 2 avec le module mod_ssl patché Page 1 sur 4 Installation d'Apache 2 avec le module mod_ssl patché Table des matières Introduction Conditions préalables Outils nécessaires à l'application du patch et à la compilation Installation Installation d'OpenSSL Application du patch sur les sources d'Apache 2 Installation d'Apache 2 avec le module mod_ssl activé Messages d'erreur Liens Introduction Pour satisfaire les besoins d'authentification du GIP-CPS, IDEALX a modifié le module mod_ssl du serveur Web Apache 2 de façon à combler une lacune de ce module et de la bibliothèque cryptographique OpenSSL par rapport aux RFC normalisant les protocoles d'authentification par certificat. Tant que l'équipe de développement de mod_ssl n'aura pas validé ce patch et inclus dans le projet lui-même, il incombera aux utilisateurs d'appliquer ce patch aux sources du module et d'installer ensuite manuellement le module patché et compilé sur leur système. Ce document présente le mode opératoire pour appliquer ce patch et installer ensuite le module sur une plate-forme Microsoft Windows. Conditions préalables Outils nécessaires à l'application du patch et à la compilation L'installation préalable des composants suivants est requise : Visual C++ 6.0 Winzip (http://www.winzip.com/downwz.htm) ou tout autre utilitaire permettant la décompression des fichiers .zip et .tar.gz Perl (http://www.activeperl.com/Products/Download/Download.plex?id=ActivePerl) Awk (http://cm.bell-labs.com/cm/cs/who/bwk/awk95.exe à renommer en awk.exe une fois téléchargé) Patch (disponible dans http://unxutils.sourceforge.net/UnxUtils.zip) Openssl 0.9.7 (http://www.openssl.org/source/openssl-0.9.7g.tar.gz) Apache 2 (http://www.apache.org/dist/httpd/httpd-2.0.54-win32-src.zip) Attention à bien télécharger les sources d'Apache 2 pour Microsoft Windows et non le .tar.gz correspondant Installation Installation d'OpenSSL 1. Téléchargez l'archive de sources openssl-0.9.7g.tar.gz sur le site de référence du projet. file://D:\INSTALLATION_WIN32.HTML 20/09/2005 Installation d'Apache 2 avec le module mod_ssl patché Page 2 sur 4 2. Décompressez l'archive 3. Lancez l'invite de commandes Windows (Démarrer > Programmes > Accessoires > Invite de Commandes), placez vous dans le répertoire de sources d'OpenSSL, puis tapez les commandes suivantes: C:\tmp\openssl-0.9.7g>perl Configure VC-WIN32 C:\tmp\openssl-0.9.7g>ms\do_ms C:\tmp\openssl-0.9.7g>nmake -f ms\ntdll.mak Application du patch sur les sources d'Apache 2 Le patch fourni par IDEALX se présente sous la forme d'un fichier nommé httpd-win32gipcps.diff. Grâce à l'utilitaire de même nom (patch), ce patch s'applique aux sources d'Apache 2 en toute simplicité, modifiant et ajoutant tous les fichiers nécessaires en une seule commande. Le mode opératoire est le suivant : 1. Téléchargez l'archive de sources httpd-2.0.54-win32-src.zip sur le site de référence du projet. 2. Décompressez l'archive 3. Placez-vous dans le répertoire de travail et décompressez l'archive de sources : 4. Appliquez le patch httpd-win32-gipcps.diff sur les sources d'Apache 2 : C:\tmp\httpd-2.0.54\>patch -p0 < httpd-win32-gipcps.diff Les sources d'Apache 2 sont désormais patchées et nous pouvons reprendre le cours normal de l'installation du serveur Apache 2. Installation d'Apache 2 Copiez le répertoire de sources d'OpenSSL (dans lequel vous avez préalablement effectué une compilation, comme décrit plus haut) dans le répertoire srclib sous le nom openssl Lancez l'invite de commandes Windows, placez vous à la racine du répertoire sources d'Apache 2 et tapez les commandes suivantes: C:\tmp\httpd-2.0.54>nmake /f Makefile.win _apacher C:\tmp\httpd-2.0.54>nmake /f Makefile.win installr INSTDIR="C:\Program Files\Apache2" Le serveur est maintenant installé dans C:\Program Files\Apache 2 et prêt à l'emploi. Avant de le lancer, vous devez cependant le configurer (la configuration intégrale du serveur Apache 2 est un vaste sujet qui sort du cadre de ce document). Une fois cette configuration réalisée, vous pouvez lancer le serveur Apache 2 via l'invite de commandes Windows : C:\Program Files\Apache 2>apache -D SSL Ou bien l'installer en tant que service Windows: file://D:\INSTALLATION_WIN32.HTML 20/09/2005 Installation d'Apache 2 avec le module mod_ssl patché Page 3 sur 4 C:\Program Files\Apache 2>apache -D SSL -k install Ce service sera par la suite accessible via Panneau de Configuration > Outils d'administration > Services. Messages d'erreur Message de log Explication Lors de la vérification du certificat client, les paramètres de la CA (identifiée par DN), faisant partie de la chaine de certification du invalid CA [DN] client, sont invalides, par exemple le Key Usage ne permet pas la signature de certificat. Cannot retrieve public key of Impossible de récupérer la clef publique du certificat de la CA CA [DN] identifiée par [DN]. signature verification of cert La vérification de la signature du certificat identifié par [DN_CERT] [DN_CERT] against CA par la CA identifiée par [DN_CA] a échoué. [DN_CA] pubkey failed error in 'not before' field of Le champ "not before" du certificat identifié par [DN] est invalide cert [DN] cert [DN] not yet valid Le certificat identifié par [DN] n'est pas encore valide. error in 'not after' field of cert Le champ "not after" du certificat identifié par [DN] est invalide [DN] cert [DN] has expired Le certificat identifié par [DN] est expiré. error in 'last update' field of Le champ "last update" de la CRL signée par la CA identifiée par CRL issued by [DN] [DN] est invalide. CRL issued by [DN] not yet La CRL signée par la CA identifiée par [DN] n'est pas encore valide. valid error in 'next update' field of Le champ "next update" de la CRL signée par la CA identifiée par CRL issued by [DN] [DN] est invalide. CRL issued by [DN] has La CRL signée par la CA identifiée par [DN] est expiré. expired signature verification of crl La vérification de la signature de la CRL par la CA identifiée par against CA [DN] pubkey [DN] a échoué. failed while checking cert [DN]: cert La chaine de certification permettant de vérifier le certificat identifié chain is too long par [DN] est trop longue. auto signed cert [DN] is Le certificat auto signé identifié par [DN] n'est pas de confiance. untrusted unable to get issuer cert for Le certificat de l'autorité ayant signé le certificat identifié par [DN] [DN] ne peut être trouvé. could not find a signer for Le certificat de l'autorité ayant signé la CRL du CA identifié par CRL issued for CA [DN] [DN] ne peut être trouvé. cert [DN] has been revoked Le certificat identifié par [DN] a été revoqué. Outils GNU http://www.gnu.org/directory/ OpenSSL http://www.openssl.org/ file://D:\INSTALLATION_WIN32.HTML 20/09/2005 Installation d'Apache 2 avec le module mod_ssl patché Page 4 sur 4 Apache http://www.apache.org/ Sébastien DINOT Mathias Brossard Nicolas Delon Copyright (C) 2002,2005 IDEALX S.A.S. http://www.idealx.com/ file://D:\INSTALLATION_WIN32.HTML 20/09/2005