Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ssl [2025/02/15 11:23] – [Redirection de HTTP vers HTTPS] administrateur
+++ ssl [2025/02/15 12:16] (Version actuelle) – [Redirection de HTTP vers HTTPS] administrateur
@@ Ligne 22: / Ligne 22: @@
   - Créer la clé privée
   - Créer le certificat X509 à partir de la clé privée en renseignant toutes les informations demandées
-  - Paramétrer le service concerné
+  - Paramétrer le service concerné (apache, proftpd, etc)
-    - activer le module,
+    * activer le module,
-    - configurer les fichiers pour qu'ils utilisent la clé et le certificat
+    * configurer les fichiers pour qu'ils utilisent la clé et le certificat
-    - mettre en écoute sur les ports spécifiques
+    * mettre en écoute sur les ports spécifiques
-    - redémarrer le service pour prendre en compte les modifications
+    * redémarrer le service pour prendre en compte les modifications
   - Tester depuis un client en lui indiquant l'adresse et le port adéquats
-  - Éventuellement, accepter le certificat auto-signé (<wrap em>attention, cela peut être un danger si on ne connaît pas la source</wrap>).
+    * Éventuellement, accepter le certificat auto-signé (<wrap em>attention, cela peut être un danger si on ne connaît pas la source</wrap>).
 </WRAP>
@@ Ligne 73: / Ligne 73: @@
 Cette même clé peut servir à établir des certificats différents pour des usages distincts (serveur FTP, serveur Web, messagerie, etc).
-==== 2 : Création d'un certificat X509 ====
+=== 2 : Création d'un certificat X509 ===
 <WRAP center round important 60%>
@@ Ligne 123: / Ligne 123: @@
 //remarque// : Si le module est déjà activé, un message l'indique.
 <WRAP center round tip 90%>
-Si la commande a2enmod ne fonctionne pas, faire les commandes suivantes :
+<wrap em>Si la commande a2enmod ne fonctionne pas</wrap>, faire les commandes suivantes :
   * cp  /etc/apache2/mods-available/ssl.load  /etc/apache2/mods-enabled/
   * cp  /etc/apache2/mods-available/ssl.conf  /etc/apache2/mods-enabled/
@@ Ligne 165: / Ligne 165: @@
 </code>
-Il faudra redémarrer Apache, qui indiquera si une erreur éventuelle est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
+Il faudra <wrap em>redémarrer Apache</wrap>, qui indiquera si une erreur éventuelle est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
 <code lscript>systemctl restart apache2</code>
@@ Ligne 183: / Ligne 183: @@
 <code apache>
 <VirtualHost *:80>
-//ligne à ajouter en adaptant l'adresse du serveur
+//ligne à ajouter en adaptant l adresse du serveur
 Redirect permanent / https://<IP_ou_FQDN_SERVEUR>/
@@ Ligne 191: / Ligne 191: @@
 ===== Configuration de ProFTP avec SSL/TLS =====
+====Activation du module TLS====
 Pour commencer, on devra indiquer dans le fichier ///etc/proftpd/modules.conf// qu'il faut activer TLS
 <code lscript>LoadModule mod_tls.c</code>
-On ira ensuite préciser au fichier //proftpd.conf// d'inclure le fichier de configuration de TLS en dé-commentant la ligne suivante :
+On ira ensuite préciser au fichier //proftpd.conf// d'inclure le fichier de configuration de TLS
+<code lscript>nano /etc/proftpd/proftpd.conf</code>
+On dé-commentera la ligne suivante :
 <code apache>Include /etc/proftpd/tls.conf</code>
+====Prise en charge des éléments de sécurité====
+La configuration se passe dans le fichier tls.conf:
+<code lscript>nano /etc/proftpd/tls.conf</code>
 Dans ce fichier //tls.conf// on devra trouver au minimum les éléments :
 <code apache>
 <IfModule mod_tls.c>
-	TLSEngine on #active le TLS
+	#active le TLS
-	TLSLog /var/log/proftpd/tls.log # dossier pour enregistrer les journaux tls
+        TLSEngine on
-	TLSProtocol SSLv23 # versions supportées (2 et 3)
+        # dossier pour enregistrer les journaux tls
-	TLSRSACertificateFile /etc/ssl/certs/GSBCertif.crt #chemin du certif
+	TLSLog /var/log/proftpd/tls.log
-	TLSRSACertificateKeyFile /etc/ssl/private/cleGSB.key # chemin de la clé
+        # versions supportées (2 et 3)
-	TLSVerifyClient off # n'oblige pas l'authentification des clients pour TLS
+	TLSProtocol SSLv23
-	#TLSRequired on # peut obliger les clients à utiliser TLS
+        #chemin du certificat
+	TLSRSACertificateFile /etc/ssl/certs/GSBCertif.crt
+        # chemin de la clé
+	TLSRSACertificateKeyFile /etc/ssl/private/cleGSB.key
+        # n'oblige pas l'authentification des clients pour TLS
+	TLSVerifyClient off
+        # peut obliger les clients à utiliser TLS
+	#TLSRequired on
 </IfModule>
 </code>
 Il faudra bien entendu redémarrer le service //proftpd// qui indiquera si une erreur est rencontrée (dans le chemin, dans le nom du fichier, dans le contenu du certificat, etc).
+<code lscript>systemctl restart proftpd </code>
 ==== Test depuis le client ====
@@ Ligne 218: / Ligne 233: @@
 On accèdera depuis un client FTP en contactant le serveur par une connexion //FTP SSL/TLS Explicite// (ici sous FileZilla Client).
-{{:clientftp.png?direct|}}
+{{ :clientftp.png?direct |}}
 On rencontrera une mise en garde indiquant que le certificat n'étant pas garanti par un tiers (il est auto-signé).
-{{:accesnoncertifieftp.png?direct|}}
+{{ :accesnoncertifieftp.png?direct |  }}
 ===== Sources =====
   * [[http://httpd.apache.org/docs/trunk/fr/ssl/ssl_intro.html]] : sur le site de Apache, une explication détaillée des principes du chiffrement, du rôle d'un certificat, des déclinaisons de SSL/TLS