Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
tutoriel:securiser_apache2_avec_ssl [Le 05/12/2007, 05:24] 82.236.11.59 |
tutoriel:securiser_apache2_avec_ssl [Le 12/09/2023, 18:54] (Version actuelle) 78.196.241.242 [Création du certificat avec Let's encrypt] simplification installation |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>feisty serveur brouillon}} | + | {{tag>tutoriel serveur apache2 tls ssl}} |
| ---- | ---- | ||
| - | ====== Sécuriser Apache2 avec SSL ====== | + | ====== Utiliser HTTPS avec Apache2 ====== |
| - | Ce tutoriel présente une procédure permettant de sécuriser un [[:tutoriel:virtualhosts_avec_apache2|hôte virtuel]] grâce au **protocole SSL**. | + | Ce tutoriel présente une procédure permettant de servir des pages web [[:apache2#creation_d_hotes_virtuels|hôte virtuel]] grâce au **protocole HTTPS**. |
| + | Avec HTTPS, les échanges HTTP entre le client et le serveur sont chiffrés (et donc sécurisés) via le protocole TLS (ou autrefois SSL). | ||
| - | ===== Le protocole SSL ===== | + | ===== Introduction ===== |
| - | + | ||
| - | SSL est un protocole qui a été développé par la société Netscape. | + | |
| - | + | ||
| - | Ce protocole permet à deux machines de communiquer de manière sécurisée. Les informations échangées entre les deux machines sont de ce fait inviolables. | + | |
| - | + | ||
| - | Le protocole SSL se traduit par la combinaison de deux protocoles bien distincts (//Handshake// et //Record//) qui permettent la négociation entre les deux machines et le chiffrement des données échangées. | + | |
| - | + | ||
| - | [[http://sebsauvage.net/comprendre/ssl|plus d'informations concernant le fonctionnement du Protocole SSL]] | + | |
| - | + | ||
| - | ===== Mise en application avec le Serveur Http Apache2 ===== | + | |
| - | + | ||
| - | + | ||
| - | ==== Activation du module SSL ==== | + | |
| - | Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module **ssl** avec la commande : | + | |
| - | sudo a2enmod ssl | + | |
| - | puis recharger la configuration d'Apache2 | + | |
| - | sudo /etc/init.d/apache2 force-reload | + | |
| + | ==== Le protocole TLS ==== | ||
| + | Le protocole [[https://fr.wikipedia.org/wiki/Transport_Layer_Security|TLS]] permet à deux machines de communiquer de manière sécurisée.\\ | ||
| + | Il assure authentification du serveur, le chiffrement des données en transit et le contrôle de leur intégrité. Les informations échangées entre les deux machines sont de ce fait pratiquement inviolables. | ||
| ==== Les Certificats ==== | ==== Les Certificats ==== | ||
| - | Un certificat permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une **clé publique** qui est indispensable pour que la communication entre les machines soit chiffrée. | ||
| - | De même, afin de garantir l'authenticité du certificat, ce dernier est signé numériquement par le biais d'une **clé privée** provenant soit d'un organisme officiel (Société spécialisée dans la certification) soit par le détenteur du Certificat lui même. Dans ce dernier cas, on parlera de certificat auto-signé. | + | [[https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique|Un certificat]] permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une **clé publique** qui est indispensable pour que la communication entre les machines soit chiffrée. |
| - | Dans la plupart des cas, l'obtention d'un Certificat certifié par une autorité officielle ayant un prix assez élevé, les webmasters auront tendance a vouloir signer eux-même leur certificat. Ce faisant, il est à noter que dans ce cas, le certificat ne sera pas reconnu par les navigateurs internet comme étant certifié. | + | Afin de garantir l'authenticité du certificat, ce dernier est signé numériquement soit par une autorité de certification (Société spécialisée dans la certification) soit par le détenteur du certificat lui-même. Dans ce dernier cas, on parlera de certificat auto-signé. |
| - | [[http://www.cacert.org|CA Cert]] permet d'obtenir des certificats gratuits. Il vous faudra néanmoins installer le certificat racine dans votre navigateur. | + | Un certificat auto-signé n'est pas reconnu comme digne de confiance par les navigateurs web et générera un avertissement. |
| - | <note>Dans ce tutoriel, la procédure présentée explique la marche à suivre pour mettre en place un **Site Web sécurisé via protocole SSL en utilisant un Certificat auto-signé**.</note> | + | Les autorités de certification font payer leur service. Cependant[[https://letsencrypt.org/|Let's encrypt]] permet maintenat d'obtenir des certificats gratuits. En outre Let's Encrypt fournit l'application [[https://certbot.eff.org/|cerbot]] qui simplifie grandement la création et la gestion des certificats. |
| - | Pour ce tutoriel, nous supposons que nous avons déjà mis en place un [[:tutoriel:virtualhosts_avec_apache2|hôte virtuel]] basé sur le nom nommé **nuxwin.com**, ce dernier étant accessible sur le **port 80** à l'adresse http://nuxwin.com | + | Pour ce tutoriel, nous supposons que nous avons déjà mis en place un [[:apache2#creation_d_hotes_virtuels|hôte virtuel]] basé sur le nom **example.com**, ce dernier étant accessible sur le **port 80** à l'adresse http://example.com |
| - | === Avant Feisty Fawn === | + | ===== Mise en application avec le Serveur Http Apache2 ===== |
| - | FIXME -> tester si la procédure pour feisty fonctionne sous Edgy et Dapper. Si oui, supprimer cette partie.\\ | + | ==== Activation du module SSL/TLS ==== |
| - | Pour générer un certificat auto-signé avec Ubuntu, il nous suffit de taper les commandes suivantes dans un terminal : | + | |
| - | - On se place dans le répertoire dans lequel le certificat doit être généré :<code>cd /etc/apache2/ssl</code> | + | Pour que le protocole TLS puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module **ssl** avec la commande : |
| - | - On lance la commande de génération :<code> | + | <code>sudo a2enmod ssl</code> |
| - | sudo apache2-ssl-certificate | + | |
| - | </code> | + | |
| - | <note>par défaut, apache2-ssl-certificate génère un certificat valable 1 mois. Il est possible d'utiliser le paramètre -days pour modifier la durée de validité. Par exemple: **sudo apache2-ssl-certificate -days 365** génèrera un certificat valable 1 an.</note> | + | puis recharger la configuration d'Apache2 avec : |
| + | <code>sudo systemctl reload apache2</code> | ||
| + | Ou si vous êtes sur une ancienne version d'Ubuntu : | ||
| + | <code>sudo service apache2 reload</code> | ||
| + | Pour vérifier l'activation du module: | ||
| + | <code>apache2ctl -M | grep ssl </code> | ||
| - | === Sous Feisty Fawn === | + | ==== Création du certificat avec Let's encrypt ==== |
| - | La commande apache2-ssl-certificate n'existe plus sous Feisty (cf [[https://launchpad.net/ubuntu/+source/apache2/+bug/77675|ce bug]]). En fait, le « problème » existe déjà en amont, chez Debian. Il semble donc que ce script ai été abandonné. | + | Prérequis : |
| + | * avoir un nom de domaine pleinement qualifié acheté auprès d'un bureau d’enregistrement (nous utiliserons example.com dans la suite) ; | ||
| + | * avoir un enregistrement DNS mettant en correspondance le nom de domaine et l'adresse IP publique du serveur ; | ||
| + | * avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement. | ||
| - | On peut cependant créer son certificat SSL auto signé en [[:tutoriel:comment_installer_un_paquet|installant le paquet]] **openssl**. FIXME -> Il est aussi possible d'installer **ca-certificates**, mais ça ne semble pas utile dans le cas d'un certificat auto-signé. | + | === Installation de Certbot === |
| - | Plutôt que de repartir de l'ancien script, je propose de se baser sur [[http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#selfcert|la doc de apache]]. | + | Il suffit d'installer le paquet certbot : |
| - | sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/apache2/server.crt -keyout /etc/apache2/server.key | + | <code> |
| + | sudo apt update | ||
| + | sudo apt install certbot</code> | ||
| - | **Explications :** | ||
| - | * **-x509 -nodes** donne le type de certificat voulu | ||
| - | * **-days 365** indique la durée de validité (en jours) de votre certificat | ||
| - | * **-newkey rsa:1024** demande une clé RSA de 1024 bits - d'après la doc apache, il est déconseillé de créer une clé plus grosse pour des histoires de compatibilité | ||
| - | * **-out /etc/apache2/server.crt** est le chemin de votre certificat | ||
| - | * **-keyout /etc/apache2/server.key** est le chemin de la clé privée | ||
| - | Répondez alors aux questions posées : | + | === Générer le certificat avec Certbot === |
| - | Country Name (2 letter code) [GB]: | + | Certbot dispose de très nombreuses options qui sont documentées en anglais [[hhttps://certbot.eff.org/docs/using.html|sur le site officiel]]. |
| - | Entrez **FR** si vous êtes situé en France et validez par la touche « Entrée » | + | |
| - | State or Province Name (full name) [Some-State]: | + | |
| - | Entrez **FRANCE** et validez par la touche « Entrée » | + | |
| - | Locality Name (eg, city) []: | + | |
| - | Indiquez ici le nom de votre ville. (//exemple :// **CAEN**) et validez par la touche « Entrée » | + | |
| - | Organization Name (eg, company; recommended) []: | + | |
| - | Indiquez le nom de votre organisation, de votre société. (//exemple :// **france-hosting**) et validez par la touche « Entrée ». Si vous n'avez pas de société, vous pouvez mettre un nom fictif, le nom de notre site Web par exemple. | + | |
| - | Organizational Unit Name (eg, section) []: | + | |
| - | Indiquez ici le nom de la section de votre organisation, de votre société. Si vous n'en avez pas, mettez la même chose que pour la question précédente. | + | |
| - | Common Name (eg, YOUR name) []: | + | |
| - | Ici, il convient de faire particulièrement attention à ce que vous allez entrer. Vous devez indiquer le __nom de domaine__ que vous désirez sécuriser. En ce qui nous concerne, il s'agit du domaine : **nuxwin.com**. Nous indiquons donc **nuxwin.com** et nous validons par la touche « Entrée ». | + | |
| - | Email Address []: | + | |
| - | Ici, il s'agit d'indiquer l'adresse E-mail de l'administrateur. En ce qui nous concerne, il s'agit de : admin@nuxwin.com. Nous terminons bien entendu en validant par la touche « Entrée ». | + | |
| - | Enfin, on empêche les curieux de lire notre clé privée : | + | == Méthode n°1 == |
| - | sudo chmod 440 /etc/apache2/server.key | + | Le script est très bien fait, ce qui implique qu'il est possible de simplement lancer, pour un serveur avec apache: |
| + | <code bash> | ||
| + | sudo certbot --apache | ||
| + | </code> | ||
| + | Le script se déroule et pose des questions, à commencer par les domaine à passer en https, puis si on veut rediriger http vers https… | ||
| + | == Méthode n°2 == | ||
| + | Une autre méthode également simple pour générer un certificat en utilisant le greffon « //webroot// » est: | ||
| + | <code bash>sudo certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com</code> | ||
| - | ==== Ajout de la directive Listen 443 ==== | + | Cette commande va générer un certificat valable pour les domaines (option -d) example.com et www.example.com, qui correspondent à un site web existant et fonctionnel placé dans le dossier racine (option -w) var/www/example. |
| - | Par défaut, Apache2 est configuré pour écouter sur le port 80. Il s'agit là de la configuration usuelle d'un Serveur Web. Cependant, le protocole SSL a besoin d'un port spécifique pour pouvoir fonctionner. Il s'agit du **port 443**. | + | À l'issue de la commande précédente sera crée une arborescence sous /etc/letsencrypt qui contient vos certificats et des fichiers de configuration nécessaires aux procédures de renouvellement et de révocation. Seront crées également une tâche cron (/etc/cron.d./certbot) et un timer systemd (lib/systemd/system/certbot.timer) permettant de renouveler automatiquement les certificats avant qu'ils n'arrivent à échéance (les certificats Let'sEncrypt ne sont valables que 3 mois). |
| - | Nous allons donc rajouter une directive de configuration nommée **Listen** qui permettra d'indiquer à Apache2 qu'il doit aussi écouter sur le port 443. | + | L’emplacement du certificat et de la clé privée est indiqué à la fin de la procédure, typiquement : |
| + | * **/etc/letsencrypt/live/example.com/privkey.pem** pour la clé privée | ||
| + | * **/etc/letsencrypt/live/example.com/fullchain.pem** pour le certificat complet. | ||
| - | Pour ce faire, [[:tutoriel:comment_editer_un_fichier|éditez le fichier]] **/etc/apache2/ports.conf** et rajoutez la ligne suivante : | + | ==== Configuration de l'hôte virtuel pour HTTPS ==== |
| - | Listen 443 | + | |
| + | <note important>Uniquement si vous avez utilisé la méthode n°2 pour obtenir le certificat. Avec la méthode n°1 les fichiers sont générés automatiquement</note> | ||
| - | ==== Création du fichier de configuration ==== | + | [[:tutoriel:comment_editer_un_fichier|Ouvrez le fichier]] de configuration de votre hôte virtuel, par exemple /etc/apache2/sites-available/example.com.conf : |
| - | + | <code apache> | |
| - | Ayant déjà configuré notre hôte virtuel **nuxwin.com**, un fichier de configuration nommé **nuxwin.com.conf** doit exister dans le répertoire **/etc/apache2/sites-available**. | + | <VirtualHost *:80> |
| - | + | ServerName example.com | |
| - | Voici le contenu de ce fichier : | + | ServerAlias www.example.com |
| - | <code> | + | ServerAdmin webmaster@example.com |
| - | <VirtualHost 192.198.0.2:80> | + | DocumentRoot /srv/web/example.com/www |
| - | DocumentRoot /var/www/nuxwin.com | + | <Directory /srv/web/example.com/www> |
| - | ServerName nuxwin.com | + | Options -Indexes +FollowSymLinks +MultiViews |
| + | AllowOverride none | ||
| + | Require all granted | ||
| + | </Directory> | ||
| + | ErrorLog /var/log/apache2/error.example.com.log | ||
| + | CustomLog /var/log/apache2/access.example.com.log combined | ||
| </VirtualHost> | </VirtualHost> | ||
| </code> | </code> | ||
| - | **Note :** Il s'agit ici du contenu minimal d'un virtualhost. | ||
| - | Pour sécuriser cet Hôte Virtuel, nous allons donc devoir modifier ce fichier en y ajoutant un hôte virtuel accessible sur le **port 443**, ce dernier contenant des directives particulières qui sont les suivantes : | + | Et ajoutez à la suite l'hôte virtuel pour le port 443 (port standard pour le HTTPS) : |
| + | <code apache> | ||
| + | <VirtualHost *:443> | ||
| + | ServerName example.com | ||
| + | ServerAlias www.example.com | ||
| + | ServerAdmin webmaster@example.com | ||
| + | DocumentRoot /srv/web/example.com/www | ||
| + | <Directory /srv/web/example.com/www> | ||
| + | Options -Indexes +FollowSymLinks +MultiViews | ||
| + | AllowOverride none | ||
| + | Require all granted | ||
| + | </Directory> | ||
| - | - Directive **SSLEngine** :\\ Cette directive permet d'activer le moteur SSL au sein d'un hôte virtuel, Elle peut prendre deux arguments --> **on/off** | + | # directives obligatoires pour TLS |
| - | - Directive **SSLCertificateFile** :\\ Cette directive définit le certificat authentifiant le Serveur auprès des clients. L'argument est le chemin d'accès au certificat. En ce qui nous concerne, le certificat se trouve dans le répertoire **/etc/apache2/** | + | SSLEngine on |
| - | - Directive **SSLCertificateKeyFile** :\\ Cette directive définit la clé privée du Serveur utilisée pour signer l'échange de clé entre le client et le serveur. Elle prend en argument le chemin d'accès à la clé (fichier). Dans notre cas, la clé se trouve dans le répertoire **/etc/apache2/**. | + | SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem |
| + | SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem | ||
| + | |||
| + | Header always set Strict-Transport-Security "max-age=15768000" | ||
| - | Par ailleurs, comme nous l'avons déjà fait pour notre hôte virtuel accessible sur le **port 80**, nous allons devoir rajouter une directive **NameVirtualHost** qui permettra que l'adresse nommée par le nom de notre hôte virtuel accessible sur le **port 443** soit résolue correctement. | + | ErrorLog /var/log/apache2/error.example.com.log |
| - | Nous rajouterons donc cette directive (//NameVirtualHost 192.168.0.2:443//) au début de notre fichier de configuration. | + | CustomLog /var/log/apache2/access.example.com.log combined |
| + | </VirtualHost> | ||
| + | </code> | ||
| - | Enfin, afin que les clients puissent continuer d'accéder au site Web en tapant une url de type **http** et non **https**, nous allons modifier l'hôte virtuel accessible sur le **port 80** en remplaçant la directive **DocumentRoot** par une directive de redirection. | + | Enregistrez le fichier et rechargez la configuration d'Apache : |
| + | <code> sudo systemctl reload apache2</code> | ||
| - | Voici donc le contenu de notre fichier une fois modifié : | + | Votre site devrait maintenant être accessible en HTTP et en HTTPS. |
| - | <file> | + | |
| - | NameVirtualHost 192.168.0.2:443 | + | |
| - | <VirtualHost 192.168.0.2:80> | + | === Forcer la connexion en HTTPS === |
| - | ServerName nuxwin.com | + | Si vous voulez que votre site ne soit accessible qu'en HTTPS et que les internautes soient redirigés automatiquement, modifiez ainsi votre fichier d'hôte virtuel : |
| - | Redirect / https://nuxwin.com | + | |
| - | </VirtualHost> | + | |
| - | + | ||
| - | <VirtualHost 192.168.0.2:443> | + | |
| - | ServerName nuxwin.com | + | |
| - | DocumentRoot /var/www/nuxwin.com | + | |
| - | SSLEngine on | + | <code apache> |
| - | SSLCertificateFile /etc/apache2/server.crt | + | <VirtualHost *:80> |
| - | SSLCertificateKeyFile /etc/apache2/server.key | + | ServerName example.com |
| + | ServerAlias www.example.com | ||
| + | ServerAdmin webmaster@example.com | ||
| + | # Redirection 301 vers le site en HTTPS | ||
| + | Redirect permanent / https://example.com/ | ||
| </VirtualHost> | </VirtualHost> | ||
| - | </file> | ||
| + | <VirtualHost *:443> | ||
| + | ServerName example.com | ||
| + | ServerAlias www.example.com | ||
| + | ServerAdmin webmaster@example.com | ||
| + | DocumentRoot /srv/web/example.com/www | ||
| + | <Directory /srv/web/example.com/www> | ||
| + | Options -Indexes +FollowSymLinks +MultiViews | ||
| + | AllowOverride none | ||
| + | Require all granted | ||
| + | </Directory> | ||
| + | # directives obligatoires pour TLS | ||
| + | SSLEngine on | ||
| + | SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem | ||
| + | SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem | ||
| + | | ||
| + | Header always set Strict-Transport-Security "max-age=15768000" | ||
| - | ==== Reload du Serveur Http Apache2 ==== | + | ErrorLog /var/log/apache2/error.example.com.log |
| - | Afin que les modifications que nous venons d'effectuer soient prises en compte, nous devons demander au **Serveur Http Apache2** de relire ses fichiers de configuration. | + | CustomLog /var/log/apache2/access.example.com.log combined |
| + | </VirtualHost> | ||
| + | </code> | ||
| + | Enregistrez le fichier et rechargez la configuration d'Apache : | ||
| + | <code> sudo systemctl reload apache2</code> | ||
| - | Pour ce faire, il suffit de taper la commande suivante dans un terminal : | + | Votre site devrait maintenant être accessible uniquement en HTTPS. |
| - | sudo /etc/init.d/apache2 reload | + | ==== Renforcer la sécurité ==== |
| - | Normalement, si tout s'est bien passé, vous devriez désormais avoir accès à votre site Web de manière sécurisée. | + | |
| - | ---- | + | Si vous voulez optimiser la sécurité des échanges en HTTPS, le plus simple est d'utiliser le [[https://mozilla.github.io/server-side-tls/ssl-config-generator/|générateur de configuration de Mozilla]] |
| - | //Contributeurs : [[utilisateurs:M. DECLERCQ]], [[utilisateurs:_Enchained]], [[utilisateurs:anthony43]]// | + | --- //[[:utilisateurs:bruno|bruno]]// |