Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Plusieurs certificats SSL pour un même site

HPIR40

Bonjour

Une petite question en passant:

J'ai un site accessible en .com et bien entendu en .lan (donc localement)

le site fonctionne parfaitement avec un certificat .com via let'sencrypt mais quand je me connecte via son adresse .lan bien entendu comme il n'y a pas de certificat .lan, les navigateurs ralent

Question peut on, dans la config virtualhost du site dans apache, mettre les certificats .com mais aussi les certificats autosignés pour une connexion en .lan?

les deux vont ils pouvoir cohabiter?

Par avance merci

jplemoine

En fait, il faut que tu fasses 2 vhosts qui pointent vers le même répertoire.
Chaque Vhost aura son propre certificat let's encrypt.
Je l'ai fait à la demande d'un client : ça fonctionne.
Comme le .lan n'est pas accessible par Internet, tu n'auras pas de problème de "duplicate content".

bruno

Bonjour,

Ce n'est pas vraiment le sujet, mais utiliser des pseudo TLD comme .lan pour le réseau local ce n'est pas une bonne idée. Le jour ou le TLD .lan sera officiellement enregistré cela ne fonctionnera plus. Il vaut mieux utiliser un vrai nom de domaine ou un de TLD de la RFC 2606

Si ton site doit répondre sur plusieurs nom de domaines différents : example.com, www.example.com, toto.lan.example.com, tu peux utiliser le me certificat. Let's Encrypt te permet de préciser plusieurs nom de domaines, voire d'utiliser un « wildcard » : *.example.com.

@jplemoine : comment fais-tu pour faire générer un certificat par Let's Encrypt pour un domaine qui n'est pas accessible depuis l'Internet (.lan) ? À ma connaissance Let's Encrypt ne peut générer des certificats que pour un domaine avec un enregistrement DNS valide. Voir: https://letsencrypt.org/fr/how-it-works/
Aucune autorité de certification ne devrait accepter de signer un certificat pour un domaine avec un TLD non valide ou réservé pour un usage privé.

jplemoine

bruno a écrit @jplemoine : comment fais-tu pour faire générer un certificat par Let's Encrypt pour un domaine qui n'est pas accessible depuis l'Internet (.lan) ? À ma connaissance Let's Encrypt ne peut générer des certificats que pour un domaine avec un enregistrement DNS valide. Voir: https://letsencrypt.org/fr/how-it-works/
Aucune autorité de certification ne devrait accepter de signer un certificat pour un domaine avec un TLD non valide ou réservé pour un usage privé.

Je viens de m'en rendre compte : en fait, j'vais 2 domaines accessibles d'internet. Effectivement, tu ne peux pas avoir un certificat Let's encrypt pour un TLD non accessible d'internet.

bruno

Ok, cela me semblait bizarre aussi 😉

Donc pour HPIR40, il faut effectivement d'utiliser un second hôte virtuel avec un certificat auto-signé. Ou bien abandonner l'usage du TLD .lan, dont je ne vois pas bien l’intérêt par ailleurs.

jplemoine

bruno a écritun certificat auto-signé.

Y a pas (plus) possibilité d'avoir un "vrai" certificat gratuit ?

bruno

Je ne vois pas comment. Un « vrai » certificat c'est un certificat signé par une AC reconnue et intégrée comme AC de de confiance aux navigateurs web. L'AC doit obligatoirement vérifier d'une manière ou d'une autre que le demandeur est bien le propriétaire du domaine. Ce qui me semble impossible avec un domaine en « bois » pour lequel on ne peut ni vérifier l'accès aux DNS faisant autorité pour ce domaine, ni au site avec un accès public.

jplemoine

Donc, pas de solution pour le .lan à part le certificat auto-signé mais de mémoire, il faut que l'utilisateur final accepte le dit certificat.

HPIR40

Merci pour vos infos donc pas de solution via le double certificat.

Le soucis que je rencontre c'est pour utiliser gitlab-runner sur un serveur git en .lan (pour des questions de confidentialité il n'est pas dispo en .com sauf pour certaines IP bien spécifiques où là le certificat SSL est OK)

Bon je vais essayer de trouver une autre solution.