Mise en place de certificats en mode Dual RSA/ECC sous Apache
Si vous désirez utiliser un certificat ECC sur votre serveur mais que vous souhaitez continuer à assurer la compatibilité avec des plateformes ne gérant que des clefs RSA, il est possible d'installer deux certificats, un au format ECC, l'autre au format RSA.
Préparations
Assurez vous d'avoir une liste de SSLCipherSuite plaçant les algorithmes de courbes elliptiques en priorité ainsi que le paramètre SSLHonorCipherOrder on dans votre configuration.
Si vous disposez d'une version d'openssl inférieure à 1.0.2
Il vous faudra concaténer vos deux chaines de certifications à l'aide d'un éditeur de texte ou sur votre serveur a l'aide de la commande cat:
cat chaine-ecc.txt chaine-rsa.txt > chaine-ecc-rsa.txt
Assurez-vous que la concaténation a correctement été effectée puis éditez votre fichier de configuration pour tenir compte de vos multiples certificats et de votre chaine de certification. Attention à ne pas inclure de chaine de certification dans les fichiers de certificats.
#ECC SSLCertificateFile /etc/apache2/SSL2015/ecdsa.cert.crt SSLCertificateKeyFile /etc/SSL2015/certs/ecdsa.key #RSA SSLCertificateFile /etc/apache2/SSL2015/rsa.cert.crt SSLCertificateKeyFile /etc/apache2/SSL2015/rsa.cert.key #Chaine de certification double SSLcertificateChainFile /etc/apache2/SSL2015/chaine-ecc-rsa.txt
Si vous disposez d'une version d'openssl supérieure ou égale à 1.0.2
Téléchargez simplement vos certificats avec chaine de certification au format pem depuis votre interface client TBS et installez les de la manière suivante :
#ECC SSLCertificateFile /etc/apache2/SSL2015/ecdsa.cert.pem SSLCertificateKeyFile /etc/SSL2015/certs/ecdsa.key #RSA SSLCertificateFile /etc/apache2/SSL2015/rsa.cert.pem SSLCertificateKeyFile /etc/apache2/SSL2015/rsa.cert.key