Finance

Disponible uniquement sur Etudier
  • Pages : 5 (1056 mots )
  • Téléchargement(s) : 0
  • Publié le : 2 mai 2011
Lire le document complet
Aperçu du document
Configurer apache2 pour faire du https

Quels sont les étapes à suivre pour fournir un site protégé par un encryptage ssl ?

Arrêt de apache
Avant de commencer toute manipulation sur les fichiers de configuration apache, commençont par arrêter le serveur :
# cd/etc/init.d/apache stop
Activer le module ssl
Dans un premier temps, il faut activer ssl. Le module ssl faisant maintenant partiede apache, il suffit pour l’activer d’utiliser la commande a2enmod
# a2enmod ssl
Créer un hôte virtuel pour le site en https
Il faut maintenant créer un hôte virtuel pour le site devant être mise en ligne en utilisant ssl. Celui ci sera en effet accessible par le port 443, et il faut donc le dire à apache. Si vous désirez que votre site soit accessible aussi bien en http qu’en https, il vafalloir créer deux hôtes virtuels : un pour le port 80 et un pour le port 443.
Ajoutons un fichier mondomaine.https dans /etc/apache2/sites-available contenant en plus des lignes habituelles les lignes suivantes :

NameVirtualHost *:443Une fois terminé la configuration de l’hôte virtuel, on peut l’ajouter à la liste des sites à servir au démarrage de apache.
# a2ensite mondomaine.https
Ouvrir leport 443
Il faut encore demander à apache d’accepter les connexions sur le port 443. Pour cela, on modifiera sous Debian le fichier /etc/apache2/ports.conf, en ajoutant la ligne
Listen 443
Iptables
On oubliera pas de modifier les règles IPtables dans le cas ou l’on utilise netfilter. Rien ne sert de configurer apache pour accepter les connexions sur le port 443 si on oublie d’autoriser lesconnexions dans netfilter...
Effectuer une demande de certificat
Pour utiliser votre site en https, il va vous falloir encore une clef privée et un certificat authentifiant votre site.
Le certificat est normalement émis par un organisme officiel sous forme crypté qui garantira la correspondance entre la clef privé et le certificat présent sur votre serveur. Il est cependant possible de générersoit même un certificat si on accepte qu’il ne sera pas possible de vérifier l’authenticité d’un site de façon automatique par un navigateur internet.
Pour simplifier, votre protection ne sera pas absolue, car il est encore possible d’usurper votre nom de site. Il sera de plus demandé à la première connexion à un site non identifié par un organisme officiel si vous souhaiter accepter le certificatqui n’a pas été accepté automatiquement par le navigateur. Cependant, si vous acceptez définitivement le certificat, toute tentative d’usurpation de votre nom de domaine sera dés lors détectée.
Bon, attaquons nous au vif du sujet .
On commence donc par la clef privée :
La clef privée peut-être protégé ou non par un mot de passe.
Avantage : la clef ne peut pas être utilisée sans ce mot depasse difficile à trouver, et donc vous protège efficacement d’une usurpation de celle ci.
Inconvénient : à chaque démarrage du serveur apache, il vous faudra entrer le mot de passe associé à la clef. Il n’est donc pas très facile de redémarrer un serveur car il faut être disponible à ce moment là, ce qui n’est pas toujours possible. De plus, c’est l’ensemble du serveur qui restera inactif. Lesautres sites resteront aussi inaccessible.
On se place dans le répertoire de son choix destiné à accueillir la clef et le certificat du site. Puis on lance la commande :

# openssl genrsa -des3 -out mondomaine.key 1024
On peut alors choisir un mot de passe. Ce mot de passe protégera la clef. Si vous ne souhaitez pas créer de mot de passe, il faut alors enlever l’option -des3
On continue parl’établissement d’une demande de certificat
# openssl req -new -key mondomaine.key -out mondomaine.csr
Il vous sera posé des questions sur votre entreprise et activité. Remplisser les avec soins car les réponses apparaîtront dans le certificat final.
Pour exemple :

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]: France
Locality Name (eg, city) []:...
tracking img