Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ssl [2020/11/29 10:43]
wikisio [Mode opératoire]
ssl [2021/09/08 09:50] (Version actuelle)
wikisio
Ligne 44: Ligne 44:
  
 __Installer les outils de manipulation des éléments de sécurité__ __Installer les outils de manipulation des éléments de sécurité__
-<code lscript>apt install easy-rsa+<code lscript>apt install easy-rsa</code>
  
 Cet outil propose notamment des commandes pour la création de clé secrète (//gendh//, //genrsa//, ...) ou la génération de certificat (//x509//). Cet outil propose notamment des commandes pour la création de clé secrète (//gendh//, //genrsa//, ...) ou la génération de certificat (//x509//).
Ligne 83: Ligne 83:
 <code lscript>openssl x509 -req -days <nb_jours> -in <nom_certif_generic.csr> -signkey <nom_fichier_cle> -out <nom_certif_X509.crt></code> <code lscript>openssl x509 -req -days <nb_jours> -in <nom_certif_generic.csr> -signkey <nom_fichier_cle> -out <nom_certif_X509.crt></code>
  
-__Exemple : création d'un certificat dans un dossier spécifique à partir de la clé RSA__+__Exemple : création d'un certificat dans le dossier des certificats SSL à partir de la clé RSA__
 <WRAP group> <WRAP group>
 <WRAP half column> <WRAP half column>
Ligne 112: Ligne 112:
      
 //remarque// : Si le module est déjà activé, un message l'indique.  //remarque// : Si le module est déjà activé, un message l'indique. 
 +
 +<WRAP center round tip 60%>
 +Si la commande ne fonctionne pas, faire les commandes suivantes :
 +  * cp  /etc/apache2/mods-available/ssl.load  /etc/apache2/mods-enabled/
 +  * cp  /etc/apache2/mods-available/ssl.conf  /etc/apache2/mods-enabled/
 +  * cp  /etc/apache2/mods-available/socache_shmcb.load  /etc/apache2/mods-enabled/
 +  * systemctl restart apache2 ou service apache2 restart
 +</WRAP>
 +
 +  
  
 On peut alors voir dans ///etc/apache2/mods-enabled/ssl.load// que la ligne ci-dessous est dé-commentée On peut alors voir dans ///etc/apache2/mods-enabled/ssl.load// que la ligne ci-dessous est dé-commentée
Ligne 124: Ligne 134:
 nano 000-default.conf nano 000-default.conf
 </code> </code>
-On **ajoutera** un hôte virtuel pour cette écoute : +On <wrap em>ajoutera</wrap> un hôte virtuel pour cette écoute : 
 <code apache> <code apache>
 #on adaptera le numéro de port conformément à ce qui a été écrit dans ports.conf #on adaptera le numéro de port conformément à ce qui a été écrit dans ports.conf
Ligne 130: Ligne 140:
  DocumentRoot /var/www/html  DocumentRoot /var/www/html
  SSLEngine on # active le SSL  SSLEngine on # active le SSL
- SSLCertificateFile /etc/ssl/mesCertifs/GSBCertif.crt # chemin du certificat X509 + SSLCertificateFile /etc/ssl/certs/GSBCertif.crt # chemin du certificat X509 
- SSLCertificateKeyFile /etc/ssl/mesCles/cleGSB.key # chemin de la clé privée+ SSLCertificateKeyFile /etc/ssl/private/cleGSB.key # chemin de la clé privée
 </VirtualHost> </VirtualHost>
 </code> </code>
Ligne 139: Ligne 149:
 __Contrôle depuis un navigateur__ __Contrôle depuis un navigateur__
  
-Dans la barre de navigation du navigateur, on tapera [[https://adresseServeur]].+Dans la barre de navigation du navigateur, on tapera [[https://<adresseServeur>]].
  
 {{:connexionnoncertifieee.png?direct&300|}} {{:connexionnoncertifieee.png?direct&300|}}
Ligne 162: Ligne 172:
  TLSLog /var/log/proftpd/tls.log # dossier pour enregistrer les journaux tls  TLSLog /var/log/proftpd/tls.log # dossier pour enregistrer les journaux tls
  TLSProtocol SSLv23 # versions supportées (2 et 3)  TLSProtocol SSLv23 # versions supportées (2 et 3)
- TLSRSACertificateFile /etc/ssl/mesCertifs/GSBCertif.crt #chemin du certif + TLSRSACertificateFile /etc/ssl/certs/GSBCertif.crt #chemin du certif 
- TLSRSACertificateKeyFile /etc/ssl/mesCles/cleGSB.key # chemin de la clé+ TLSRSACertificateKeyFile /etc/ssl/private/cleGSB.key # chemin de la clé
  TLSVerifyClient off # n'oblige pas l'authentification des clients pour TLS  TLSVerifyClient off # n'oblige pas l'authentification des clients pour TLS
  #TLSRequired on # peut obliger les clients à utiliser TLS  #TLSRequired on # peut obliger les clients à utiliser TLS