Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ssl [2025/02/15 11:22] – [Configuration d'Apache avec SSL/TLS] administrateur
+++ ssl [2025/02/15 12:16] (Version actuelle) – [Redirection de HTTP vers HTTPS] administrateur
@@ Ligne 22: / Ligne 22: @@
   - Créer la clé privée
   - Créer le certificat X509 à partir de la clé privée en renseignant toutes les informations demandées
-  - Paramétrer le service concerné
+  - Paramétrer le service concerné (apache, proftpd, etc)
-    - activer le module,
+    * activer le module,
-    - configurer les fichiers pour qu'ils utilisent la clé et le certificat
+    * configurer les fichiers pour qu'ils utilisent la clé et le certificat
-    - mettre en écoute sur les ports spécifiques
+    * mettre en écoute sur les ports spécifiques
-    - redémarrer le service pour prendre en compte les modifications
+    * redémarrer le service pour prendre en compte les modifications
   - Tester depuis un client en lui indiquant l'adresse et le port adéquats
-  - Éventuellement, accepter le certificat auto-signé (<wrap em>attention, cela peut être un danger si on ne connaît pas la source</wrap>).
+    * Éventuellement, accepter le certificat auto-signé (<wrap em>attention, cela peut être un danger si on ne connaît pas la source</wrap>).
 </WRAP>
@@ Ligne 73: / Ligne 73: @@
 Cette même clé peut servir à établir des certificats différents pour des usages distincts (serveur FTP, serveur Web, messagerie, etc).
-==== 2 : Création d'un certificat X509 ====
+=== 2 : Création d'un certificat X509 ===
 <WRAP center round important 60%>
@@ Ligne 123: / Ligne 123: @@
 //remarque// : Si le module est déjà activé, un message l'indique.
 <WRAP center round tip 90%>
-Si la commande a2enmod ne fonctionne pas, faire les commandes suivantes :
+<wrap em>Si la commande a2enmod ne fonctionne pas</wrap>, faire les commandes suivantes :
   * cp  /etc/apache2/mods-available/ssl.load  /etc/apache2/mods-enabled/
   * cp  /etc/apache2/mods-available/ssl.conf  /etc/apache2/mods-enabled/
@@ Ligne 165: / Ligne 165: @@
 </code>
-Il faudra redémarrer Apache, qui indiquera si une erreur éventuelle est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
+Il faudra <wrap em>redémarrer Apache</wrap>, qui indiquera si une erreur éventuelle est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
 <code lscript>systemctl restart apache2</code>
@@ Ligne 177: / Ligne 177: @@
 On doit vérifier qu'un cadenas fermé au bas du navigateur atteste d'une navigation sécurisée.
-==== Redirection de HTTP vers HTTPS ====
+===== Redirection de HTTP vers HTTPS =====
 Lorsqu'on met en place une sécurisation SSL d'un serveur WEB, il peut être intéressant de laisser possible l'accès HTTP (pour les utilisateurs étourdis), mais en forçant le renvoi vers la version HTTPS.
@@ Ligne 183: / Ligne 183: @@
 <code apache>
 <VirtualHost *:80>
-//ligne à ajouter en adaptantl'adresse du serveur
+//ligne à ajouter en adaptant l adresse du serveur
 Redirect permanent / https://<IP_ou_FQDN_SERVEUR>/
@@ Ligne 191: / Ligne 191: @@
 ===== Configuration de ProFTP avec SSL/TLS =====
+====Activation du module TLS====
 Pour commencer, on devra indiquer dans le fichier ///etc/proftpd/modules.conf// qu'il faut activer TLS
 <code lscript>LoadModule mod_tls.c</code>
-On ira ensuite préciser au fichier //proftpd.conf// d'inclure le fichier de configuration de TLS en dé-commentant la ligne suivante :
+On ira ensuite préciser au fichier //proftpd.conf// d'inclure le fichier de configuration de TLS
+<code lscript>nano /etc/proftpd/proftpd.conf</code>
+On dé-commentera la ligne suivante :
 <code apache>Include /etc/proftpd/tls.conf</code>
+====Prise en charge des éléments de sécurité====
+La configuration se passe dans le fichier tls.conf:
+<code lscript>nano /etc/proftpd/tls.conf</code>
 Dans ce fichier //tls.conf// on devra trouver au minimum les éléments :
 <code apache>
 <IfModule mod_tls.c>
-	TLSEngine on #active le TLS
+	#active le TLS
-	TLSLog /var/log/proftpd/tls.log # dossier pour enregistrer les journaux tls
+        TLSEngine on
-	TLSProtocol SSLv23 # versions supportées (2 et 3)
+        # dossier pour enregistrer les journaux tls
-	TLSRSACertificateFile /etc/ssl/certs/GSBCertif.crt #chemin du certif
+	TLSLog /var/log/proftpd/tls.log
-	TLSRSACertificateKeyFile /etc/ssl/private/cleGSB.key # chemin de la clé
+        # versions supportées (2 et 3)
-	TLSVerifyClient off # n'oblige pas l'authentification des clients pour TLS
+	TLSProtocol SSLv23
-	#TLSRequired on # peut obliger les clients à utiliser TLS
+        #chemin du certificat
+	TLSRSACertificateFile /etc/ssl/certs/GSBCertif.crt
+        # chemin de la clé
+	TLSRSACertificateKeyFile /etc/ssl/private/cleGSB.key
+        # n'oblige pas l'authentification des clients pour TLS
+	TLSVerifyClient off
+        # peut obliger les clients à utiliser TLS
+	#TLSRequired on
 </IfModule>
 </code>
 Il faudra bien entendu redémarrer le service //proftpd// qui indiquera si une erreur est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
+<code lscript>systemctl restart proftpd </code>
 ==== Test depuis le client ====
@@ Ligne 218: / Ligne 233: @@
 On accèdera depuis un client FTP en contactant le serveur par une connexion //FTP SSL/TLS Explicite// (ici sous FileZilla Client).
-{{:clientftp.png?direct|}}
+{{ :clientftp.png?direct |}}
 On rencontrera une mise en garde indiquant que le certificat n'étant pas garanti par un tiers (il est auto-signé).
-{{:accesnoncertifieftp.png?direct|}}
+{{ :accesnoncertifieftp.png?direct |  }}
 ===== Sources =====
   * [[http://httpd.apache.org/docs/trunk/fr/ssl/ssl_intro.html]] : sur le site de Apache, une explication détaillée des principes du chiffrement, du rôle d'un certificat, des déclinaisons de SSL/TLS