Installation d`Apache 2 avec le module mod_ssl patché

Installation d'Apache 2 avec le module mod_ssl patché
Page 1 sur 4
Installation d'Apache 2 avec le module mod_ssl patché
Table des matières
Introduction
Conditions préalables
Outils nécessaires à l'application du patch et à la compilation
Installation
Installation d'OpenSSL
Application du patch sur les sources d'Apache 2
Installation d'Apache 2 avec le module mod_ssl activé
Messages d'erreur
Liens
Introduction
Pour satisfaire les besoins d'authentification du GIP-CPS, IDEALX a modifié le module mod_ssl du
serveur Web Apache 2 de façon à combler une lacune de ce module et de la bibliothèque
cryptographique OpenSSL par rapport aux RFC normalisant les protocoles d'authentification par
certificat.
Tant que l'équipe de développement de mod_ssl n'aura pas validé ce patch et inclus dans le projet
lui-même, il incombera aux utilisateurs d'appliquer ce patch aux sources du module et d'installer
ensuite manuellement le module patché et compilé sur leur système.
Ce document présente le mode opératoire pour appliquer ce patch et installer ensuite le module sur
une plate-forme Microsoft Windows.
Conditions préalables
Outils nécessaires à l'application du patch et à la compilation
L'installation préalable des composants suivants est requise :
Visual C++ 6.0
Winzip (http://www.winzip.com/downwz.htm) ou tout autre utilitaire permettant la
décompression des fichiers .zip et .tar.gz
Perl (http://www.activeperl.com/Products/Download/Download.plex?id=ActivePerl)
Awk (http://cm.bell-labs.com/cm/cs/who/bwk/awk95.exe à renommer en awk.exe une fois
téléchargé)
Patch (disponible dans http://unxutils.sourceforge.net/UnxUtils.zip)
Openssl 0.9.7 (http://www.openssl.org/source/openssl-0.9.7g.tar.gz)
Apache 2 (http://www.apache.org/dist/httpd/httpd-2.0.54-win32-src.zip) Attention à bien
télécharger les sources d'Apache 2 pour Microsoft Windows et non le .tar.gz correspondant
Installation
Installation d'OpenSSL
1. Téléchargez l'archive de sources openssl-0.9.7g.tar.gz sur le site de référence du projet.
file://D:\INSTALLATION_WIN32.HTML
20/09/2005
Installation d'Apache 2 avec le module mod_ssl patché
Page 2 sur 4
2. Décompressez l'archive
3. Lancez l'invite de commandes Windows (Démarrer > Programmes > Accessoires > Invite de
Commandes), placez vous dans le répertoire de sources d'OpenSSL, puis tapez les commandes
suivantes:
C:\tmp\openssl-0.9.7g>perl Configure VC-WIN32
C:\tmp\openssl-0.9.7g>ms\do_ms
C:\tmp\openssl-0.9.7g>nmake -f ms\ntdll.mak
Application du patch sur les sources d'Apache 2
Le patch fourni par IDEALX se présente sous la forme d'un fichier nommé httpd-win32gipcps.diff. Grâce à l'utilitaire de même nom (patch), ce patch s'applique aux sources
d'Apache 2 en toute simplicité, modifiant et ajoutant tous les fichiers nécessaires en une seule
commande. Le mode opératoire est le suivant :
1. Téléchargez l'archive de sources httpd-2.0.54-win32-src.zip sur le site de référence du projet.
2. Décompressez l'archive
3. Placez-vous dans le répertoire de travail et décompressez l'archive de sources :
4. Appliquez le patch httpd-win32-gipcps.diff sur les sources d'Apache 2 :
C:\tmp\httpd-2.0.54\>patch -p0 < httpd-win32-gipcps.diff
Les sources d'Apache 2 sont désormais patchées et nous pouvons reprendre le cours normal de
l'installation du serveur Apache 2.
Installation d'Apache 2
Copiez le répertoire de sources d'OpenSSL (dans lequel vous avez préalablement effectué une
compilation, comme décrit plus haut) dans le répertoire srclib sous le nom openssl
Lancez l'invite de commandes Windows, placez vous à la racine du répertoire sources d'Apache 2
et tapez les commandes suivantes:
C:\tmp\httpd-2.0.54>nmake /f Makefile.win _apacher
C:\tmp\httpd-2.0.54>nmake /f Makefile.win installr INSTDIR="C:\Program Files\Apache2"
Le serveur est maintenant installé dans C:\Program Files\Apache 2 et prêt à l'emploi. Avant de le
lancer, vous devez cependant le configurer (la configuration intégrale du serveur Apache 2 est un
vaste sujet qui sort du cadre de ce document). Une fois cette configuration réalisée, vous pouvez
lancer le serveur Apache 2 via l'invite de commandes Windows :
C:\Program Files\Apache 2>apache -D SSL
Ou bien l'installer en tant que service Windows:
file://D:\INSTALLATION_WIN32.HTML
20/09/2005
Installation d'Apache 2 avec le module mod_ssl patché
Page 3 sur 4
C:\Program Files\Apache 2>apache -D SSL -k install
Ce service sera par la suite accessible via Panneau de Configuration > Outils d'administration >
Services.
Messages d'erreur
Message de log
Explication
Lors de la vérification du certificat client, les paramètres de la CA
(identifiée par DN), faisant partie de la chaine de certification du
invalid CA [DN]
client, sont invalides, par exemple le Key Usage ne permet pas la
signature de certificat.
Cannot retrieve public key of Impossible de récupérer la clef publique du certificat de la CA
CA [DN]
identifiée par [DN].
signature verification of cert
La vérification de la signature du certificat identifié par [DN_CERT]
[DN_CERT] against CA
par la CA identifiée par [DN_CA] a échoué.
[DN_CA] pubkey failed
error in 'not before' field of
Le champ "not before" du certificat identifié par [DN] est invalide
cert [DN]
cert [DN] not yet valid
Le certificat identifié par [DN] n'est pas encore valide.
error in 'not after' field of cert
Le champ "not after" du certificat identifié par [DN] est invalide
[DN]
cert [DN] has expired
Le certificat identifié par [DN] est expiré.
error in 'last update' field of
Le champ "last update" de la CRL signée par la CA identifiée par
CRL issued by [DN]
[DN] est invalide.
CRL issued by [DN] not yet
La CRL signée par la CA identifiée par [DN] n'est pas encore valide.
valid
error in 'next update' field of Le champ "next update" de la CRL signée par la CA identifiée par
CRL issued by [DN]
[DN] est invalide.
CRL issued by [DN] has
La CRL signée par la CA identifiée par [DN] est expiré.
expired
signature verification of crl
La vérification de la signature de la CRL par la CA identifiée par
against CA [DN] pubkey
[DN] a échoué.
failed
while checking cert [DN]: cert La chaine de certification permettant de vérifier le certificat identifié
chain is too long
par [DN] est trop longue.
auto signed cert [DN] is
Le certificat auto signé identifié par [DN] n'est pas de confiance.
untrusted
unable to get issuer cert for
Le certificat de l'autorité ayant signé le certificat identifié par [DN]
[DN]
ne peut être trouvé.
could not find a signer for
Le certificat de l'autorité ayant signé la CRL du CA identifié par
CRL issued for CA [DN]
[DN] ne peut être trouvé.
cert [DN] has been revoked
Le certificat identifié par [DN] a été revoqué.
Outils GNU
http://www.gnu.org/directory/
OpenSSL
http://www.openssl.org/
file://D:\INSTALLATION_WIN32.HTML
20/09/2005
Installation d'Apache 2 avec le module mod_ssl patché
Page 4 sur 4
Apache
http://www.apache.org/
Sébastien DINOT
Mathias Brossard
Nicolas Delon
Copyright (C) 2002,2005 IDEALX S.A.S.
http://www.idealx.com/
file://D:\INSTALLATION_WIN32.HTML
20/09/2005