WIKI SIO : DEPUIS 2017

Outils pour utilisateurs

Outils du site

Piste :
ssl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ssl [2022/10/06 08:40] – [Configuration d'Apache avec SSL/TLS] adminssl [2023/11/30 16:59] (Version actuelle) – [Configuration d'Apache avec SSL/TLS] admin
Ligne 50: Ligne 50:
 == 1 : Création d'une clé privée == == 1 : Création d'une clé privée ==
  
-La base des techniques de <wrap em>cryptage asymétrique</wrap> repose sur la présence, à un endroit unique, d'une **//clé privée//**. +La base des techniques de <wrap em>chiffrement asymétrique</wrap> repose sur la présence, à un endroit unique, d'une **//clé privée//**. 
 Elle permettra de créer une **//clé publique//** (dans un **//certificat//**) et de décrypter ce qui aura été chiffré par cette **//clé publique//**.  Elle permettra de créer une **//clé publique//** (dans un **//certificat//**) et de décrypter ce qui aura été chiffré par cette **//clé publique//**. 
  
Ligne 68: Ligne 68:
 == 2 : Création d'un certificat X509 == == 2 : Création d'un certificat X509 ==
  
-<wrap em>La clé privée ne doit jamais être diffusée</wrap>On va donc générer la **//partie publique//** sous forme d'un <wrap em>certificat</wrap>+<WRAP center round important 60%> 
 +<wrap em>La clé privée ne doit jamais être diffusée</wrap> 
 +</WRAP> 
 +On va donc générer la **//partie publique//** sous forme d'un <wrap em>certificat</wrap>
  
 Pour que ce dernier soit accessible aux navigateurs, on a recours au format standard X509.  Pour que ce dernier soit accessible aux navigateurs, on a recours au format standard X509. 
Ligne 75: Ligne 78:
  
 La création va donc passer par deux étapes :  La création va donc passer par deux étapes : 
-  * Création d'un d'une demande de signature de certificat (Certificate signing request) : on devra renseigner les coordonnées de l'entreprise 
  
 +  * Création d'un d'une <wrap em>demande de signature de certificat (Certificate signing request)</wrap> : on devra renseigner les coordonnées de l'entreprise<WRAP right round tip 30%>
 +si la signature est faite par la même machine que la demande, le <wrap em>certificat est auto-signé</wrap> et génèrera une alerte sur les navigateurs
 +</WRAP>
 <code lscript>openssl req -new -key <nom_fichier_cle> -out <nom_certif_generic.csr> </code> <code lscript>openssl req -new -key <nom_fichier_cle> -out <nom_certif_generic.csr> </code>
  
-  * signature et création du certificat au X509+  * signature et création du certificat au X509 
  
 <code lscript>openssl x509 -req -days <nb_jours> -in <nom_certif_generic.csr> -signkey <nom_fichier_cle> -out <nom_certif_X509.crt></code> <code lscript>openssl x509 -req -days <nb_jours> -in <nom_certif_generic.csr> -signkey <nom_fichier_cle> -out <nom_certif_X509.crt></code>
  
 __Exemple : création d'un certificat dans le dossier des certificats SSL à partir de la clé RSA__ __Exemple : création d'un certificat dans le dossier des certificats SSL à partir de la clé RSA__
-<WRAP group> 
-<WRAP half column> 
 <code lscript> <code lscript>
 cd /etc/ssl/certs cd /etc/ssl/certs
Ligne 91: Ligne 94:
 openssl x509 -req -days 365 -in GSBCertGen.csr -signkey ../private/cleGSB.key -out GSBcertif.crt  openssl x509 -req -days 365 -in GSBCertGen.csr -signkey ../private/cleGSB.key -out GSBcertif.crt 
 </code> </code>
-</WRAP> 
  
-<WRAP half column> +<WRAP right round important 30%>
-<WRAP center round important 60%>+
 Penser à adapter les valeurs à votre environnement Penser à adapter les valeurs à votre environnement
-</WRAP> 
-</WRAP> 
 </WRAP> </WRAP>
  
Ligne 107: Ligne 106:
 ===== Configuration d'Apache avec SSL/TLS ===== ===== Configuration d'Apache avec SSL/TLS =====
  
-La configuration nécessite l'activation du module SSL pour Apache +La configuration nécessite l'activation du module SSL pour Apache2
  
   a2enmod ssl   a2enmod ssl
      
 //remarque// : Si le module est déjà activé, un message l'indique.  //remarque// : Si le module est déjà activé, un message l'indique. 
-<WRAP center round tip 80%> +<WRAP center round tip 90%> 
-Si la commande ne fonctionne pas, faire les commandes suivantes :+Si la commande a2enmod ne fonctionne pas, faire les commandes suivantes :
   * cp  /etc/apache2/mods-available/ssl.load  /etc/apache2/mods-enabled/   * cp  /etc/apache2/mods-available/ssl.load  /etc/apache2/mods-enabled/
   * cp  /etc/apache2/mods-available/ssl.conf  /etc/apache2/mods-enabled/   * cp  /etc/apache2/mods-available/ssl.conf  /etc/apache2/mods-enabled/
Ligne 119: Ligne 118:
   * systemctl restart apache2 ou service apache2 restart   * systemctl restart apache2 ou service apache2 restart
 </WRAP> </WRAP>
- 
  
      
Ligne 159: Ligne 157:
 Du fait que le certificat que nous avons créé n'est pas garanti par un organisme officiel, le navigateur met en garde sur le manque de confiance accordée à un certificat signé par son créateur.  Du fait que le certificat que nous avons créé n'est pas garanti par un organisme officiel, le navigateur met en garde sur le manque de confiance accordée à un certificat signé par son créateur. 
 On doit vérifier qu'un cadenas fermé au bas du navigateur atteste d'une navigation sécurisée. On doit vérifier qu'un cadenas fermé au bas du navigateur atteste d'une navigation sécurisée.
 +
 +==== Redirection de HTTP vers HTTPS ====
 +Lorsqu'on met en place une sécurisation SSL d'un serveur WEB, il peut être intéressant de laisser possible l'accès HTTP (pour les utilisateurs étourdis), mais en forçant le renvoi vers la version HTTPS. 
 +
 +Pour cela, dans le **//VirtualHost//** du port 80, on ajoutera la ligne suivante : 
 +<code apache>
 +<VirtualHost *:80>
 +//ligne à ajouter en adaptantl'adresse du serveur
 +Redirect permanent / https://<IP_ou_FQDN_SERVEUR>/
 +
 +</VirtualHost>
 +</code>
  
 ===== Configuration de ProFTP avec SSL/TLS ===== ===== Configuration de ProFTP avec SSL/TLS =====
ssl.1665045648.txt.gz · Dernière modification : 2022/10/06 08:40 de admin