https

Bonjour,


J'ai un peu du mal avec la configuration https du nouveau httpd d'Openbsd, quelqu'un a déjà réussi.
Voici mon httpd.conf :

ext_addr="egress"

server "127.0.0.1" {
        listen on 127.0.0.1 ssl port 443

        # Define server-specific log files relative to /logs
        log { access "secure-access.log", error "secure-error.log" }

        # Increase connection limits to extend the lifetime
        connection { max requests 500, timeout 3600 }

        root "/htdocs/owncloud"
}

J'ai accès en local mais pas sur un autre poste.


Merci d'avance

Pascal Heslot



________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonsoir,

>         listen on 127.0.0.1 ssl port 443
>

Ceci explique cela, non ? :D

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonjour,

J'ai essayé aussi avec son IP



Pascal Heslot

-----Message d'origine-----
De : Denis Fondras [mailto:[hidden email]]
Envoyé : mercredi 4 février 2015 18:18
À : [hidden email]
Objet : Re: [obsdfr-misc] https

Bonsoir,

>         listen on 127.0.0.1 ssl port 443
>

Ceci explique cela, non ? :D

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonjour,

Ca dépend réellement de la configuration voulue mais que cela donne-t-il
si vous essayez :
listen on * tls port 443

Cordialement,
rv.
Le 05/02/2015 09:50, [hidden email] a écrit :

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Même chose "La connexion a échoué"



Pascal Heslot

-----Message d'origine-----
De : The_NeTpSyChO [mailto:[hidden email]]
Envoyé : jeudi 5 février 2015 09:59
À : [hidden email]
Objet : Re: [obsdfr-misc] https

Bonjour,

Ca dépend réellement de la configuration voulue mais que cela donne-t-il si vous essayez :
listen on * tls port 443

Cordialement,
rv.
Le 05/02/2015 09:50, [hidden email] a écrit :

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonjour,

On Wed, Feb 04, 2015 at 05:12:10PM +0000, [hidden email] wrote:
D'après la manpage 'httpd.conf'
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/httpd.conf.5?query=httpd.conf&sec=5

configuration minimale pour daemon httpd en écoute sur interface :

ext_ip="10.0.0.1"
server "default" {
        listen on $ext_ip port 80
}

D'autre part, pour écouter en HTTPS, la syntaxe correct est ' listen on
<address> tls port <number>'. Dans ta configuration, tu as mis 'ssl' au
lieu de 'tls'.

Dernier point, pour savoir sur quelle adresse le daemon httpd est en
écoute, un ptit 'netstat -na -f inet' serait utile.

++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

> D'autre part, pour icouter en HTTPS, la syntaxe correct est ' listen on
> <address> tls port <number>'. Dans ta configuration, tu as mis 'ssl' au
> lieu de 'tls'.
>

Ca dépend s'il est en -current ou 5.6.

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bonjour Laurent,


Le http fonctionne sans problème mais dès que j'ai voulu passer en https, plus d'accès.
Oui j'ai bien corrigé le ssl en tls, sachant que ssl c'est dans le fichier exemple fourni par OpenBSD 5.6
Mais avec tls le httpd ne démarre plus
Et avec ssl cela démarre et avec 'netstat -na -f inet   je vois bien 127.0.0.1.443



Pascal Heslot

-----Message d'origine-----
De : Laurent Cheylus [mailto:[hidden email]]
Envoyé : jeudi 5 février 2015 13:42
À : [hidden email]
Objet : Re: [obsdfr-misc] https

Bonjour,

On Wed, Feb 04, 2015 at 05:12:10PM +0000, [hidden email] wrote:
D'après la manpage 'httpd.conf'
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/httpd.conf.5?query=httpd.conf&sec=5

configuration minimale pour daemon httpd en écoute sur interface :

ext_ip="10.0.0.1"
server "default" {
        listen on $ext_ip port 80
}

D'autre part, pour écouter en HTTPS, la syntaxe correct est ' listen on <address> tls port <number>'. Dans ta configuration, tu as mis 'ssl' au lieu de 'tls'.

Dernier point, pour savoir sur quelle adresse le daemon httpd est en écoute, un ptit 'netstat -na -f inet' serait utile.

++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Avec une 5.6 installée de frais, ça fonctionne avec ce /etc/httpd.conf :

server "127.0.0.1" {
        listen on egress ssl port 443

        ssl key "/etc/ssl/test/private/my.key"
        ssl certificate "/etc/ssl/test/my.crt"

        # Define server-specific log files relative to /logs
        log { access "secure-access.log", error "secure-error.log" }

        # Increase connection limits to extend the lifetime
        connection { max requests 500, timeout 3600 }

        root "/var/www"
}

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Tu as bien autorisé le port 443 dans pf?

On 05/02/2015 14:12, [hidden email] wrote:
> Le http fonctionne sans problème mais dès que j'ai voulu passer en https, plus d'accès.


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

On Thu, Feb 05, 2015 at 01:12:35PM +0000, [hidden email] wrote:
> Bonjour Laurent,
>
>
> Le http fonctionne sans problème mais dès que j'ai voulu passer en https, plus d'accès.
> Oui j'ai bien corrigé le ssl en tls, sachant que ssl c'est dans le fichier exemple fourni par OpenBSD 5.6
> Mais avec tls le httpd ne démarre plus
> Et avec ssl cela démarre et avec 'netstat -na -f inet   je vois bien 127.0.0.1.443

Hello,

Si tu testes à partir d'un poste à côté, il ne te faut pas 127.0.0.1 sur ton
serveur, mais l'adresse IP sur laquelle tu veux que ton serveur soit joignable
(je ne sais pas si c'est possible de mettre *, je n'ai jamais utilisé httpd).

Par ailleurs, suivant, que tu sois en -current ou en 5.6-release, regarde la
bonne page man :
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-5.6/man5/httpd.conf.5?query=httpd.conf&manpath=OpenBSD-5.6
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/httpd.conf.5?query=httpd.conf

(d'après ton dernier message, ce serait 5.6-release vu que ton serveur ne
démarre pas avec le mot clé tls).

Tu peux également tester de lancer ton serveur à la mano, avec httpd -dvv par
exemple (jamais testé httpd mais d'après le man, ça fonctionne). Ca permettra
peut être de voir une petite erreur quelque part.

Enfin, dernière idée, une fois que tu verras ton serveur qui écoute sur ton
adresse externe (192.168.1.12.443 ou *.443 par exemple), fais bien attention à
ce que le port soit ouvert côté PF.

A+

--
mabla


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Bon avec cet httpd.conf et pf disable, je ne me fait plus jeté mais ça mouline

}server "server" {
        listen on 192.168.1.251 ssl port 443

        # Define server-specific log files relative to /logs
        log { access "secure-access.log", error "secure-error.log" }

        # Increase connection limits to extend the lifetime
        connection { max requests 500, timeout 3600 }

        root "/htdocs/owncloud"




Pascal Heslot

-----Message d'origine-----
De : [hidden email] [mailto:[hidden email]]
Envoyé : jeudi 5 février 2015 14:38
À : [hidden email]
Objet : Re: [obsdfr-misc] https

On Thu, Feb 05, 2015 at 01:12:35PM +0000, [hidden email] wrote:
> Bonjour Laurent,
>
>
> Le http fonctionne sans problème mais dès que j'ai voulu passer en https, plus d'accès.
> Oui j'ai bien corrigé le ssl en tls, sachant que ssl c'est dans le
> fichier exemple fourni par OpenBSD 5.6 Mais avec tls le httpd ne démarre plus
> Et avec ssl cela démarre et avec 'netstat -na -f inet   je vois bien 127.0.0.1.443

Hello,

Si tu testes à partir d'un poste à côté, il ne te faut pas 127.0.0.1 sur ton serveur, mais l'adresse IP sur laquelle tu veux que ton serveur soit joignable (je ne sais pas si c'est possible de mettre *, je n'ai jamais utilisé httpd).

Par ailleurs, suivant, que tu sois en -current ou en 5.6-release, regarde la bonne page man :
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-5.6/man5/httpd.conf.5?query=httpd.conf&manpath=OpenBSD-5.6
http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/httpd.conf.5?query=httpd.conf

(d'après ton dernier message, ce serait 5.6-release vu que ton serveur ne démarre pas avec le mot clé tls).

Tu peux également tester de lancer ton serveur à la mano, avec httpd -dvv par exemple (jamais testé httpd mais d'après le man, ça fonctionne). Ca permettra peut être de voir une petite erreur quelque part.

Enfin, dernière idée, une fois que tu verras ton serveur qui écoute sur ton adresse externe (192.168.1.12.443 ou *.443 par exemple), fais bien attention à ce que le port soit ouvert côté PF.

A+

--
mabla


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Re,

On Thu, Feb 05, 2015 at 01:45:32PM +0000, [hidden email] wrote:
Je ne voudrais pas paraitre désagréable mais tu n'y mets pas beaucoup du
tien pour que les abonnés de la liste te filent un coup de main. Il vaut
mieux trop d'informations techniques que des réponses laconiques sans
aucun contenu...

Dans le cas présent, tu veux dire quoi par "ça mouline" ????

PS: dans certains services Support technique pro., avec des messages
aussi succincts, on ne prendrait même pas en compte ta demande d'aide
initiale.

++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Le Thu, 05 Feb 2015 14:33:58 +0100
Blaise Hizded <[hidden email]> a écrit:

Normal. Le http c'est le port 80.
Donc, le port 443 est-il ouvert dans PF ?


--
[hidden email]

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Le Thu, 5 Feb 2015 14:30:18 +0100
Denis Fondras <[hidden email]> a écrit:

Avec root "/var/www" ne perd t'on pas l'avantage du chroot de httpd ?

--
[hidden email]

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

> Avec root "/var/www" ne perd t'on pas l'avantage du chroot de httpd ?
>

Non, parce que "root" est relatif au chemin de "chroot" (/var/www par défaut).
Donc les fichiers servis dans cet exemple se trouvent dans /var/www/var/www au final :)

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Le Thu, 5 Feb 2015 17:19:54 +0100
Denis Fondras <[hidden email]> a écrit:

Haaa. Ok. J'avoue que ça m'a enduit d'erreur. :)
Mais ça peut prêter à confusion quand-même.
Merci pour l'info.

--
[hidden email]

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Hummm, moi non :-(



Pascal Heslot

-----Message d'origine-----
De : Ricard [mailto:[hidden email]]
Envoyé : jeudi 5 février 2015 16:28
À : [hidden email]
Objet : Re: [obsdfr-misc] https

Le Thu, 5 Feb 2015 14:30:18 +0100
Denis Fondras <[hidden email]> a écrit:

Avec root "/var/www" ne perd t'on pas l'avantage du chroot de httpd ?

--
[hidden email]

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Hummm désolé mais je fais du support depuis très longtemps et cela ne me parait pas "laconique", mouliner c'est quand dans l'onglet du browser cela tourne indéfiniment, ça mouline



Pascal Heslot

-----Message d'origine-----
De : Laurent Cheylus [mailto:[hidden email]]
Envoyé : jeudi 5 février 2015 15:30
À : [hidden email]
Objet : Re: [obsdfr-misc] https

Re,

On Thu, Feb 05, 2015 at 01:45:32PM +0000, [hidden email] wrote:
Je ne voudrais pas paraitre désagréable mais tu n'y mets pas beaucoup du tien pour que les abonnés de la liste te filent un coup de main. Il vaut mieux trop d'informations techniques que des réponses laconiques sans aucun contenu...

Dans le cas présent, tu veux dire quoi par "ça mouline" ????

PS: dans certains services Support technique pro., avec des messages aussi succincts, on ne prendrait même pas en compte ta demande d'aide initiale.

++ Laurent

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

> Hummm, moi non :-(
>

Ok.

* uname -a
* netstat -an | grep 443
* httpd -dnv
* pfctl -si | grep Enabled && pfctl -sr
* netstat -nr

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php