Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:securiser_apache2_avec_ssl [Le 12/03/2018, 08:12] bruno [Configuration de l'hôte virtuel pour HTTPS] |
tutoriel:securiser_apache2_avec_ssl [Le 12/09/2023, 18:54] (Version actuelle) 78.196.241.242 [Création du certificat avec Let's encrypt] simplification installation |
||
|---|---|---|---|
| Ligne 4: | Ligne 4: | ||
| ====== Utiliser HTTPS avec Apache2 ====== | ====== Utiliser HTTPS avec Apache2 ====== | ||
| - | Ce tutoriel présente une procédure permettant de servir des pages web [[:tutoriel:virtualhosts_avec_apache2|hôte virtuel]] grâce au **protocole HTTPS**. | + | Ce tutoriel présente une procédure permettant de servir des pages web [[:apache2#creation_d_hotes_virtuels|hôte virtuel]] grâce au **protocole HTTPS**. |
| Avec HTTPS, les échanges HTTP entre le client et le serveur sont chiffrés (et donc sécurisés) via le protocole TLS (ou autrefois SSL). | Avec HTTPS, les échanges HTTP entre le client et le serveur sont chiffrés (et donc sécurisés) via le protocole TLS (ou autrefois SSL). | ||
| Ligne 11: | Ligne 11: | ||
| ==== Le protocole TLS ==== | ==== Le protocole TLS ==== | ||
| - | Le protocole [[https://fr.wikipedia.org/wiki/Transport_Layer_Security|TLS]] permet à deux machines de communiquer de manière sécurisée. Les informations échangées entre les deux machines sont de ce fait pratiquement inviolables. | + | Le protocole [[https://fr.wikipedia.org/wiki/Transport_Layer_Security|TLS]] permet à deux machines de communiquer de manière sécurisée.\\ |
| - | Il doit assurer l'authentification du serveur grâce à un certificat. La confidentialité des données grâce au chiffrement et l’intégrité des données. | + | Il assure authentification du serveur, le chiffrement des données en transit et le contrôle de leur intégrité. Les informations échangées entre les deux machines sont de ce fait pratiquement inviolables. |
| ==== Les Certificats ==== | ==== Les Certificats ==== | ||
| - | [[https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique|Un certificat]] permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une **clé publique** qui est indispensable pour que la communication entre les machines soit chiffrée. | + | [[https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique|Un certificat]] permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une **clé publique** qui est indispensable pour que la communication entre les machines soit chiffrée. |
| - | Afin de garantir l'authenticité du certificat, ce dernier est signé numériquement provenant soit d'un organisme officiel (Société spécialisée dans la certification) soit par le détenteur du Certificat lui même. Dans ce dernier cas, on parlera de certificat auto-signé. | + | Afin de garantir l'authenticité du certificat, ce dernier est signé numériquement soit par une autorité de certification (Société spécialisée dans la certification) soit par le détenteur du certificat lui-même. Dans ce dernier cas, on parlera de certificat auto-signé. |
| - | Dans la plupart des cas, l'obtention d'un Certificat certifié par une autorité officielle ayant un prix assez élevé, les webmasters auront tendance a vouloir signer eux-même leur certificat. Ce faisant, il est à noter que dans ce cas, le certificat ne sera pas reconnu par les navigateurs web comme étant certifié. | + | Un certificat auto-signé n'est pas reconnu comme digne de confiance par les navigateurs web et générera un avertissement. |
| - | [[http://www.cacert.org|CA Cert]] permet d'obtenir des certificats gratuits. Il vous faudra néanmoins installer le certificat racine dans votre navigateur. | + | Les autorités de certification font payer leur service. Cependant[[https://letsencrypt.org/|Let's encrypt]] permet maintenat d'obtenir des certificats gratuits. En outre Let's Encrypt fournit l'application [[https://certbot.eff.org/|cerbot]] qui simplifie grandement la création et la gestion des certificats. |
| - | [[https://letsencrypt.org/|Let's encrypt]] permet également d'obtenir des certificats gratuits. En outre Let'Encrypt fourni l'application [[https://certbot.eff.org/|cerbot]] qui simplifie grandement la création et la gestion des certificats. Vous avez un excellent tuto pour ubuntu 16.04 [[https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04|Ici]] | + | Pour ce tutoriel, nous supposons que nous avons déjà mis en place un [[:apache2#creation_d_hotes_virtuels|hôte virtuel]] basé sur le nom **example.com**, ce dernier étant accessible sur le **port 80** à l'adresse http://example.com |
| - | + | ||
| - | Pour ce tutoriel, nous supposons que nous avons déjà mis en place un [[:tutoriel:virtualhosts_avec_apache2|hôte virtuel]] basé sur le nom **example.com**, ce dernier étant accessible sur le **port 80** à l'adresse http://example.com | + | |
| ===== Mise en application avec le Serveur Http Apache2 ===== | ===== Mise en application avec le Serveur Http Apache2 ===== | ||
| Ligne 35: | Ligne 33: | ||
| Pour que le protocole TLS puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module **ssl** avec la commande : | Pour que le protocole TLS puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module **ssl** avec la commande : | ||
| <code>sudo a2enmod ssl</code> | <code>sudo a2enmod ssl</code> | ||
| - | puis recharger la configuration d'Apache2 faites : | + | |
| + | puis recharger la configuration d'Apache2 avec : | ||
| <code>sudo systemctl reload apache2</code> | <code>sudo systemctl reload apache2</code> | ||
| Ou si vous êtes sur une ancienne version d'Ubuntu : | Ou si vous êtes sur une ancienne version d'Ubuntu : | ||
| <code>sudo service apache2 reload</code> | <code>sudo service apache2 reload</code> | ||
| + | Pour vérifier l'activation du module: | ||
| + | <code>apache2ctl -M | grep ssl </code> | ||
| - | ==== Création du certificat avec Let'encrypt ==== | + | ==== Création du certificat avec Let's encrypt ==== |
| - | Prérequis : | + | Prérequis : |
| - | * avoir un nom de domaine pleinement qualifié (nous utiliserons example.com dans la suite); | + | * avoir un nom de domaine pleinement qualifié acheté auprès d'un bureau d’enregistrement (nous utiliserons example.com dans la suite) ; |
| + | * avoir un enregistrement DNS mettant en correspondance le nom de domaine et l'adresse IP publique du serveur ; | ||
| * avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement. | * avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement. | ||
| === Installation de Certbot === | === Installation de Certbot === | ||
| - | Les instructions pour installer et utiliser simplement certbot sont disponibles en anglais [[https://certbot.eff.org/|sur le site officiel.]] | ||
| - | En voici, un récapitulatif. Il faut d'abord installer le dépôt ppa officiel (sans risques) puis installer le paquet certbot : | + | Il suffit d'installer le paquet certbot : |
| - | <code>sudo apt update | + | <code> |
| - | sudo apt install software-properties-common | + | |
| - | sudo add-apt-repository ppa:certbot/certbot | + | |
| sudo apt update | sudo apt update | ||
| sudo apt install certbot</code> | sudo apt install certbot</code> | ||
| + | |||
| === Générer le certificat avec Certbot === | === Générer le certificat avec Certbot === | ||
| - | Certbot dispose de très nombreuses options qui sont documentées en anglais [[hhttps://certbot.eff.org/docs/using.html|sur le site officiel.]]. | + | Certbot dispose de très nombreuses options qui sont documentées en anglais [[hhttps://certbot.eff.org/docs/using.html|sur le site officiel]]. |
| - | Voici une des méthode les plus simples pour générer un certificat en utilisant le greffon « //webroot// » : | + | == Méthode n°1 == |
| + | Le script est très bien fait, ce qui implique qu'il est possible de simplement lancer, pour un serveur avec apache: | ||
| + | <code bash> | ||
| + | sudo certbot --apache | ||
| + | </code> | ||
| + | Le script se déroule et pose des questions, à commencer par les domaine à passer en https, puis si on veut rediriger http vers https… | ||
| + | == Méthode n°2 == | ||
| + | Une autre méthode également simple pour générer un certificat en utilisant le greffon « //webroot// » est: | ||
| - | <code>sudo certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com</code> | + | <code bash>sudo certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com</code> |
| Cette commande va générer un certificat valable pour les domaines (option -d) example.com et www.example.com, qui correspondent à un site web existant et fonctionnel placé dans le dossier racine (option -w) var/www/example. | Cette commande va générer un certificat valable pour les domaines (option -d) example.com et www.example.com, qui correspondent à un site web existant et fonctionnel placé dans le dossier racine (option -w) var/www/example. | ||
| - | À l'issue de la commande précédente sera crée une arborescence sous /etc/letsencrypt qui contient vos certificat et des fichiers de configuration nécessaires aux procédures de renouvellement et de révocation. Sera crée également une tâche cron (/etc/cron.d./certbot) permettant de renouveler automatiquement les certificats avant qu'ils n'arrivent à échéance (les certificats Let'sEncrypt ne sont valables que 3 mois). | + | À l'issue de la commande précédente sera crée une arborescence sous /etc/letsencrypt qui contient vos certificats et des fichiers de configuration nécessaires aux procédures de renouvellement et de révocation. Seront crées également une tâche cron (/etc/cron.d./certbot) et un timer systemd (lib/systemd/system/certbot.timer) permettant de renouveler automatiquement les certificats avant qu'ils n'arrivent à échéance (les certificats Let'sEncrypt ne sont valables que 3 mois). |
| L’emplacement du certificat et de la clé privée est indiqué à la fin de la procédure, typiquement : | L’emplacement du certificat et de la clé privée est indiqué à la fin de la procédure, typiquement : | ||
| Ligne 72: | Ligne 79: | ||
| ==== Configuration de l'hôte virtuel pour HTTPS ==== | ==== Configuration de l'hôte virtuel pour HTTPS ==== | ||
| + | |||
| + | <note important>Uniquement si vous avez utilisé la méthode n°2 pour obtenir le certificat. Avec la méthode n°1 les fichiers sont générés automatiquement</note> | ||
| [[:tutoriel:comment_editer_un_fichier|Ouvrez le fichier]] de configuration de votre hôte virtuel, par exemple /etc/apache2/sites-available/example.com.conf : | [[:tutoriel:comment_editer_un_fichier|Ouvrez le fichier]] de configuration de votre hôte virtuel, par exemple /etc/apache2/sites-available/example.com.conf : | ||
| Ligne 158: | Ligne 167: | ||
| Votre site devrait maintenant être accessible uniquement en HTTPS. | Votre site devrait maintenant être accessible uniquement en HTTPS. | ||
| - | ==== Renforcer la sécurité ==== | + | ==== Renforcer la sécurité ==== |
| + | |||
| + | Si vous voulez optimiser la sécurité des échanges en HTTPS, le plus simple est d'utiliser le [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|générateur de configuration de Mozilla]] | ||
| - | Si vous voulez optimiser la sécurité des échanges en HTTPS, le plus simple et d'utiliser le [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|générateur de configuration de Mozilla]] | + | --- //[[:utilisateurs:bruno|bruno]]// |