|
|
| Ligne 1 : |
Ligne 1 : |
| {|border=1 class="wikitable"
| |
| ! !! HTTP !! HTTPS
| |
| |-align="center"
| |
| | '''Protocole''' || tcp || tcp
| |
| |-align="center"
| |
| | '''Port''' || 80 || 443
| |
| |-align="center"
| |
| | '''Configuration Iptables''' || iptables -I INPUT 2 -p tcp --dport 80 -j ACCEPT || iptables -I INPUT 2 -p tcp --dport 443 -j ACCEPT
| |
| |}
| |
|
| |
|
| = Préparation =
| |
|
| |
|
| Dans un premier temps, il faudra avoir une connexion à Internet, utiliser un serveur DNS et désactiver SELinux.
| |
|
| |
| Pour ceux qui auraient manqué des étapes les voici:
| |
| * [[resolv.conf|Configuration du client DNS]]
| |
| * [[ifcfg-ethX|Paramétrer sa carte réseau]]
| |
| * [[SELinux#Changement_d.27.C3.A9tat|Désactiver SELinux]]
| |
|
| |
| Une fois ces étapes effectuées, entrons dans le vif du sujet !
| |
|
| |
| = Installation =
| |
|
| |
| == HTTP ==
| |
|
| |
| <pre>
| |
| # dnf -y install httpd
| |
| </pre>
| |
|
| |
| == HTTP '''et''' HTTPS ==
| |
| <pre>
| |
| # dnf -y install httpd mod_ssl
| |
| </pre>
| |
|
| |
| == HTTP2 ==
| |
| Si vous souhaitez accélérer le chargement de votre site, il est intéressant de passer en HTTP2. Pour ça on va installer le paquetage :
| |
| <pre>
| |
| # dnf -y install mod_http2
| |
| </pre>
| |
|
| |
| = Configuration de base =
| |
|
| |
| == Avant le premier démarrage ==
| |
|
| |
| Tout d'abord il faut paramétrer le nom de la machine ainsi que l'adresse d'écoute
| |
|
| |
| Pour cela cherchez dans le fichier ''/etc/httpd/conf/httpd.conf'' les lignes commençant par :
| |
|
| |
| * Listen 80
| |
| * #ServerName www.example.com:80
| |
|
| |
| La première doit contenir l'adresse IP de la machine ou ''*'' pour que ''httpd'' écoute sur toutes les interfaces
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| Listen *:80
| |
| </syntaxhighlight>
| |
|
| |
| La deuxième doit être cohérente avec le nom de la machine qui est précisé dans le fichier [[Sysconfig-network|''network'']]
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| ServerName web:80
| |
| </syntaxhighlight>
| |
|
| |
| Si vous souhaitez activer HTTP2 n'oubliez pas d'ajouter la ligne suivante dans le fichier ''/etc/httpd/conf/httpd.conf'' :
| |
| <syntaxhighlight lang="apache">
| |
| Protocols h2 http/1.1
| |
| </syntaxhighlight>
| |
|
| |
| == Premier démarrage ==
| |
|
| |
| Maintenant on peut démarrer ''httpd''
| |
| * Pour SystemVInit:
| |
| <pre>
| |
| # service httpd start
| |
| Démarrage de httpd : [ OK ]
| |
| </pre>
| |
| * Pour SystemD :
| |
| <pre>
| |
| # systemctl start httpd.service
| |
| </pre>
| |
|
| |
| == Vérification ==
| |
|
| |
| On peut vérifier que ''httpd'' écoute sur la bonne adresse et les bons ports
| |
| * CentOS 6:
| |
| <pre>
| |
| # netstat -atnp | grep httpd
| |
| tcp 0 0 :::80 :::* LISTEN 1202/httpd
| |
| tcp 0 0 :::443 :::* LISTEN 1202/httpd
| |
| </pre>
| |
| * CentOS 7:
| |
| <pre>
| |
| # ss -atnp | grep httpd
| |
| LISTEN 0 128 :::80 :::* users:(("httpd",pid=1483,fd=4),("httpd",pid=1482,fd=4),("httpd",pid=1481,fd=4),("httpd",pid=1480,fd=4),("httpd",pid=1479,fd=4),("httpd",pid=1478,fd=4))
| |
| </pre>
| |
|
| |
| == Enregistrement dans le chargeur de démarrage ==
| |
| *Pour SystemVInit:
| |
| <pre>
| |
| # chkconfig httpd on
| |
| </pre>
| |
| *Pour SystemD:
| |
| <pre>
| |
| # systemctl enable httpd.service
| |
| </pre>
| |
|
| |
| = Après le premier démarrage =
| |
| Essayez de ne jamais JAMAIS jamais redémarrer le serveur Apache avec :
| |
| <pre>
| |
| # systemctl restart httpd
| |
| </pre>
| |
|
| |
| "restart" a pour effet de stopper puis démarrer le serveur, si une erreur est présente dans votre configuration le serveur s'arrête sans redémarrer, ce qui ajoute toujours un peu de pression si c'est un serveur de production... ou si c'est vendredi à 17h :)
| |
|
| |
| À la place, préférez vérifier la configuration avec la commande:
| |
| <pre>
| |
| # httpd -S
| |
| </pre>
| |
|
| |
| Si une erreur est présente, le fichier et la ligne en question seront mentionnés.
| |
|
| |
| Une fois toutes les vérifications effectuées, utilisez la commande suivante pour recharger la configuration du serveur Apache:
| |
| <pre>
| |
| # httpd -k graceful
| |
| </pre>
| |
| Si des erreurs sont présentes dans un fichier de configuration, le serveur les affichera mais n'en tiendra pas compte.
| |
|
| |
| = Ajout d'une page html =
| |
|
| |
| Le dossier de travail de ''httpd'' est précisé grâce à la variable ''DocumentRoot'' qui a la valeur ''/var/www/html''
| |
|
| |
| Vous pouvez donc créer votre premier site web en ajoutant dans ce dossier le fichier désigné par la variable ''DirectoryIndex'' (généralement ''index.html'')
| |
|
| |
| <pre>
| |
| # vi /var/www/html/index.html
| |
| </pre>
| |
|
| |
| Une fois le fichier édité, il ne faut pas oublier de repositionner les bons droits pour qu'apache soit apte à le lire
| |
|
| |
| <pre>
| |
| # chown apache.apache -R /var/www/html
| |
| </pre>
| |
|
| |
| = Parcours des logs =
| |
| {{#lst:Les_logs|log_httpd}}
| |
| == favicon.ico ?? ==
| |
|
| |
| Quand on parcourt le fichier ''access_log'' on peut croiser la ligne suivante
| |
|
| |
| <pre>
| |
| 192.168.200.12 - - [28/Dec/2013:19:58:13 +0100] "GET /favicon.ico HTTP/1.1" 404 278 "-" "Mozilla/5.0 (X11; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
| |
| </pre>
| |
|
| |
| Et on peut se demander pourquoi le navigateur demande favicon.ico ?? En fait, il s'agit de l'icône qui figure dans l'onglet, à côté du titre
| |
|
| |
| [[Fichier:fireforx_favicon_tab.png]] → [[Fichier:favicon_tlc.png]]
| |
|
| |
| Vous pouvez la générer grâce au site suivant [http://www.favicon.cc/ www.favicon.cc] et la placer à la racine du site web (''/var/www/html'')
| |
| === Plusieurs Vhosts et une seule favicon ===
| |
| Si vous désirez une ''favicon'' pour plusieurs vhost, utilisez une expression rationnelle:
| |
| <syntaxhighlight lang="apache">
| |
| AliasMatch "favicon.ico$" "/chemin/vers/favicon.ico"
| |
| </syntaxhighlight>
| |
| L'expression suivante va réévaluer toutes les URLs se terminant (''$'') par ''favicon.ico'' en ''/chemin/vers/favicon.ico''.
| |
|
| |
| === Favicon pas dans la DocumentRoot ===
| |
| Si votre ''favicon'' n'est pas dans la ''DocumentRoot'' (directive d'Apache) de votre site web, il faudra la rendre exécutable pour qu'Apache puisse la servir
| |
| <pre>
| |
| # chmod +x /chemin/vers/favicon.ico
| |
| </pre>
| |
|
| |
| = Fonction Virtual Host =
| |
|
| |
| La fonction Vhost permet de faire tourner plusieurs sites Web différents sur un même serveur. Les moyens de différenciation sont multiples:
| |
| * le port TCP
| |
| * l'adresse IP
| |
| * le nom DNS
| |
| * un sous-ensemble de ces trois éléments
| |
|
| |
| == Emplacement du fichier de configuration ==
| |
|
| |
| Les fichiers de configuration de ''httpd'' se trouvent dans le dossier ''/etc/httpd/conf.d''
| |
|
| |
| <pre>
| |
| # ll /etc/httpd/conf.d/
| |
| total 20
| |
| -rw-r--r--. 1 root root 392 13 août 19:28 README
| |
| -rw-r--r--. 1 root root 9473 2 août 13:59 ssl.conf
| |
| -rw-r--r--. 1 root root 299 2 août 13:59 welcome.conf
| |
| </pre>
| |
|
| |
| Ces fichiers sont ''importés'' dans la configuration de ''httpd'' grâce à la directive ''Include'' présente dans le fichier ''httpd.conf''
| |
|
| |
| <pre>
| |
| Include conf.d/*.conf
| |
| </pre>
| |
|
| |
| Nous allons donc créer un fichier spécifique pour nos VHost que nous appellerons ''vhost.conf''
| |
|
| |
| <pre>
| |
| # touch /etc/httpd/conf.d/vhost.conf
| |
| </pre>
| |
|
| |
| == VHost par ports TCP ==
| |
|
| |
| Ce choix permet avec une seule adresse IP d'avoir plusieurs sites qui sont accessibles sur des ports différents. C'est généralement le cas quand on veut installer des interfaces d'administration.
| |
|
| |
| Tout d'abord le serveur ''httpd'' doit écouter sur les ports en question
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| Listen 80 # Ne pas ajouter si déjà dans httpd.conf
| |
| Listen 8080
| |
| ServerName www.tala-informatique.fr
| |
| </syntaxhighlight>
| |
|
| |
| Ensuite les VHost possèderont une directive ''VirtualHost'' différente
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| <VirtualHost *:80>
| |
| DocumentRoot /var/www/html/public
| |
| </VirtualHost>
| |
|
| |
| <VirtualHost *:8080>
| |
| DocumentRoot /var/www/html/admin
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| == VHost par adresses IP ==
| |
|
| |
| === Des contenus différents ===
| |
|
| |
| Ce choix est inintéressant quand le serveur Web possède deux cartes réseaux sur deux réseaux différents (vers Internet et vers l'intranet).
| |
|
| |
| Tout d'abord on déclare un serveur ''httpd'' principal et cette configuration est généralement déjà dans ''httpd.conf''.
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| Listen 192.168.200.251:80
| |
| DocumentRoot /var/www/html/
| |
| ServerName www.tala-informatique.fr
| |
| </syntaxhighlight>
| |
|
| |
| Ensuite le VHost possèdera une directive ''VirtualHost'' différente
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| <VirtualHost 192.168.200.250:80>
| |
| DocumentRoot /var/www/html/intranet
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| === Le même contenu ===
| |
|
| |
| Le serveur web peut avoir plusieurs interfaces, sur des réseaux différents, et en plus une interface d'administration sur laquelle on ne veut pas que ''httpd'' écoute.
| |
|
| |
| Tout d'abord le serveur ''httpd'' doit écouter sur le port TCP/80 (en général)
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| Listen *:80
| |
| </syntaxhighlight>
| |
|
| |
| Puis on précise les interfaces d'écoute
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| <VirtualHost 192.168.200.250 192.168.200.251>
| |
| DocumentRoot /var/www/html/intranet
| |
| ServerName www.tala-informatique.fr
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| == VHost par noms DNS ==
| |
|
| |
| C'est le type le plus courant de VHost, le plus souvent les gens ne possèdent qu'une seule adresse IP publique et il est donc plus simple de faire ''pointer'' plusieurs noms de domaine vers la même adresse.
| |
|
| |
| La directive NameVirtualHost permet de spécifier l'adresse IP sur laquelle le serveur recevra les requêtes pour les vhosts par nom. Si vous avez plusieurs serveurs virtuels basés sur le nom avec plusieurs adresses, utilisez une directive pour chaque adresse.
| |
|
| |
| <syntaxhighlight lang="apacheconf">
| |
| NameVirtualHost *:80
| |
| </syntaxhighlight>
| |
|
| |
| Ensuite les VHost possèderont une variable ''ServerName'' différente
| |
|
| |
| <syntaxhighlight lang="apacheconf">
| |
| <VirtualHost *:80>
| |
| DocumentRoot /var/www/html/informatique
| |
| ServerName www.tala-informatique.fr
| |
| </VirtualHost>
| |
|
| |
| <VirtualHost *:80>
| |
| DocumentRoot /var/www/html/wiki
| |
| ServerName wiki.tala-informatique.fr
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| == Rediriger les brebis égarées ==
| |
| Il peut être utile d'utiliser la directive ''Redirect'' pour rediriger quelqu'un qui arrive en ''http'' si votre site est en ''https''.
| |
| Pour cela nous allons créer un ''Vhost'' ''http'' identique à celui en ''https'' et qui aura pour unique rôle d'effectuer une règle de redirection:
| |
| <syntaxhighlight lang="apache">
| |
| <VirtualHost www.tala-informatique.fr:80>
| |
| ServerName www.tala-informatique.fr
| |
| Redirect "/" "https://www.tala-informatique.fr/"
| |
| </VirtualHost>
| |
|
| |
| <VirtualHost www.tala-informatique.fr:443>
| |
| ServerName www.tala-informatique.fr
| |
| DocumentRoot /var/www/html/
| |
|
| |
| SSLEngine on
| |
| SSLCertificateFile /opt/ssl/www.tala-informatique.fr.crt
| |
| SSLCertificateKeyFile /opt/ssl/www.tala-informatique.fr.key
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
| == Rediriger vers un autre serveur ==
| |
| Il est possible d'utiliser Apache en frontal comme reverse proxy. Cela va rediriger la requête entrante vers un autre serveur web:
| |
| <syntaxhighlight lang="apache>
| |
| <VirtualHost *:80>
| |
| ProxyPreserveHost On
| |
|
| |
| ProxyPass / http://192.168.1.1:8080/
| |
| ProxyPassReverse / http://192.168.1.1:8080/
| |
|
| |
| ServerName kfserver.tala-informatique.fr
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
| Dans cet exemple, le serveur Apache va rediriger toutes les requêtes à destination du vhost ''kfserver.tala-informatique.fr'' vers le serveur ''http://192.168.1.1:8080/''
| |
|
| |
| On peut aussi ajouter une authentification par mot de passe dans le ''virtual host'' :
| |
| <syntaxhighlight lang="apache>
| |
| <VirtualHost *:80>
| |
| ...
| |
| <Proxy *>
| |
| AuthUserFile /etc/httpd/conf.d/kfserver.pwd
| |
| AuthName "Protected access !"
| |
| AuthType Basic
| |
| Require valid-user
| |
| </Proxy>
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| = Le fichier ''.htaccess'' =
| |
| Les fichiers ''.htaccess'' sont des fichiers de configuration d'Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires.
| |
| == Possibilités ==
| |
| Les principales raisons d'utilisation des fichiers .htaccess sont :
| |
| *gérer l'accès à certains fichiers;
| |
| *ajouter un mime-type;
| |
| *protéger l'accès à un répertoire ou un fichier par un mot de passe;
| |
| *définir des pages d'erreurs personnalisées.
| |
|
| |
| == Principe==
| |
| Le fichier ''.htaccess'' est placé dans le répertoire dans lequel il doit agir. Il agit ainsi sur les permissions du répertoire qui le contient et sur tous ses sous-répertoires.
| |
|
| |
| Vous pouvez placer un autre fichier ''.htaccess'' dans un sous-répertoire d'un répertoire déjà contrôlé par un fichier ''.htaccess''. Le fichier .htaccess du répertoire parent reste en « activité » tant que les fonctionnalités n'ont pas été réécrites.
| |
|
| |
| == Exemples d'utilisation ==
| |
| <B>Avant d'aller plus loin, assurez-vous qu'''Apache'' lise les ''.htaccess'' en passant la directive ''AllowOverride'' de ''None'' à ''All'' dans le fichier ''/etc/httpd/conf/httpd.conf''</B>
| |
|
| |
| Pour cela éditez le fichier et cherchez la ligne ''<Directory "/var/www/html" >''. Plus loin, il vous suffit de modifier la ligne ''AllowOverride None'' en ''AllowOverride All''.
| |
| === Bloquer l'accès à des ressources ===
| |
| Un fichier ''.htaccess'' est composé de deux sections :
| |
| * une première qui contient les chemins vers les fichiers contenant les définitions de groupes et d'utilisateurs;
| |
| * une deuxième qui précise les conditions d'accès.
| |
| <syntaxhighlight lang="apache">
| |
| # Définition
| |
| AuthUserFile /path/to/.htpasswd
| |
| AuthGroupFile /path/to/.htgroup
| |
| AuthName "Accès protégé"
| |
| AuthType Basic
| |
| #Conditions d'accès
| |
| Require valid-user
| |
| </syntaxhighlight>
| |
| *''AuthUserFile'' définit le chemin d'accès absolu vers le fichier de mot de passe;
| |
| *''AuthGroupFile'' définit le chemin d'accès absolu vers le fichier de groupe;
| |
| *''AuthName'' entraîne l'affichage dans le navigateur Internet de : « Tapez votre nom d'utilisateur et votre mot de passe. Domaine: "Accès protégé" »;
| |
| *''AuthType'' Basic précise qu'il faut utiliser AuthUserFile pour l'authentification;
| |
| *''Require valid-user'' précise que l'on autorise uniquement les personnes identifiées. Il est possible de préciser le nom des personnes autorisées : ''Require user {username}''
| |
|
| |
| === Création du fichier de mot de passe ===
| |
| Pour créer le fichier de mot de passe, il faut utiliser la commande ''htpasswd''
| |
| <pre>
| |
| # htpasswd -c /path/to/.htpasswd jcf
| |
| New password:
| |
| Re-type new password:
| |
| Adding password for user jcf
| |
| </pre>
| |
|
| |
| On vérifie que le fichier est bien crypté:
| |
| <pre>
| |
| # cat .htpasswd
| |
| jcf:RM1/WS9zqOV8o
| |
| </pre>
| |
| La prochaine fois que l'on veut ajouter un compte il ne faut pas utiliser l'option ''-c'' (pour ''create''):
| |
| <pre>
| |
| # htpasswd /path/to/.htpasswd magali
| |
| New password:
| |
| Re-type new password:
| |
| Adding password for user magali
| |
| </pre>
| |
|
| |
| = Redirections =
| |
| Vous vous demandez comment rediriger les âmes égarées qui se retrouvent à la racine de votre serveur Web...
| |
|
| |
| Dans le fichier ou vous avez déclaré vos ''Vhost'' il vous suffit d'ajouter la ligne suivante:
| |
| <syntaxhighlight lang="apache">
| |
| RedirectMatch ^/$ /wiki/
| |
| </syntaxhighlight>
| |
| Comme cela, lorsque l'on arrive à la racine ''/'' (''^/$'' → ''^'' signifie ''début de ligne'' et ''$'' fin de ligne) on est redirigé vers ''/wiki/''.
| |
|
| |
| = Réécriture d'URLs (mod_rewrite) =
| |
| La réécriture d'URLs et très utilisée dans l'élaboration d'APIs ou d'applications où la sémantique des URLs est importante. Le module de réécriture peut, en fonction d'expressions régulières, modifier les URLs envoyées par le navigateur (''à la volé'') pour limiter l'adhérence avec les fichiers sur le disque dur.
| |
|
| |
| Par exemple, plus besoin d'utiliser ''/user.php?id=1'' pour accéder à l'utilisateur qui possède l'identifiant ''1'' mais simplement ''/user/1''.
| |
|
| |
| == Mise en place ==
| |
| La réécriture des URLs se fait sur un répertoire donc:
| |
|
| |
| Si elle est déclarée dans un fichier vhost, il faut qu'elle se trouve entre les balises ''Directory''
| |
|
| |
| <syntaxhighlight lang="apacheconf" copy>
| |
| <VirtualHost *:80>
| |
| <Directory /opt/site>
| |
| Require all granted
| |
| # On active le module de réécriture
| |
| RewriteEngine on
| |
| # On test si un fichier existe et on l'affiche
| |
| RewriteCond %{REQUEST_FILENAME} !-f
| |
| # On test si un répertoire existe et on l'affiche
| |
| RewriteCond %{REQUEST_FILENAME} !-d
| |
| # Si aucun fichier ou répertoire n'existe on applique la règle de réécriture
| |
| # Dans ce cas on prend toute l'URL est on la met dans $_GET['url']
| |
| RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
| |
| </Directory>
| |
| DocumentRoot /opt/site
| |
| ServerName wis.local
| |
| </VirtualHost>
| |
| </syntaxhighlight>
| |
|
| |
| Sinon, elle peut se renseigner dans un fichier ''.htaccess''
| |
| <source lang="apacheconf">
| |
| # On active le module de réécriture
| |
| RewriteEngine on
| |
| # On test si un fichier existe et on l'affiche
| |
| RewriteCond %{REQUEST_FILENAME} !-f
| |
| # On test si un répertoire existe et on l'affiche
| |
| RewriteCond %{REQUEST_FILENAME} !-d
| |
| # Si aucun fichier ou répertoire n'existe on applique la règle de réécriture
| |
| # Dans ce cas on prend toute l'URL est on la met dans $_GET['url']
| |
| RewriteRule ^(.*)$ index.php?url=$1 [QSA,L]
| |
| </source>
| |
|
| |
| Il ne reste plus qu'à créer le fichier index.php suivant:
| |
| <syntaxhighlight lang="php">
| |
| <?php
| |
|
| |
| var_dump($_GET['url']);
| |
| </syntaxhighlight>
| |
| Pour voir s'afficher l'URL:
| |
| [[Fichier:Mod rewrite var dump index.png|centré]]
| |
|
| |
| == Digestion des URLs ==
| |
| Il ne nous reste plus qu'à ''digérer'' les URLs pour aiguiller vers la bonne page ! La technique consiste à ''exploser'' l'URL pour la lire grâce à un [https://fr.wikipedia.org/wiki/Automate_fini_d%C3%A9terministe automate à états fini déterministe]:
| |
|
| |
| <syntaxhighlight lang="php">
| |
| <?php
| |
| function digestUrl(){
| |
| if(isset($_GET['url']) && !empty($_GET['url'])){
| |
| // Si l'URL n'est pas vide, on la met dans un tableau
| |
| $url[] = $_GET['url'];
| |
| if(strpos($url[0], '/') !== FALSE){
| |
| // L'URL possède plusieurs morceaux, découpage dans le tableau
| |
| $url = explode('/', $url[0]);
| |
| }
| |
| // Lecture de la première partie
| |
| if($url[0] == 'user'){
| |
| // première partie de l'URL 'user'...
| |
| ...
| |
| }else if(...){
| |
| // deuxième traitement ici...
| |
| }else{
| |
| // URL inconnue
| |
| http_response_code(404);
| |
| echo "File not found";
| |
| }
| |
| }else{
| |
| // L'URL est vide
| |
| http_response_code(200);
| |
| echo "Page d'index";
| |
| }
| |
| }
| |
| digestUrl();
| |
| </syntaxhighlight>
| |
|
| |
| = Certificats =
| |
|
| |
| C'est la première chose que les utilisateurs vont voir lorsqu'ils se connectent à votre site, alors autant en prendre soin. On n'est pas en confiance lorsque l'on se connecte à un serveur qui fait parti de l'entreprise ''SomeOrganization'' et du département ''SomeOrganizationUnit''... On va remédier à cela !
| |
|
| |
| == Auto-signé ==
| |
| === Génération ===
| |
| Pour ce faire, nous allons utiliser ''openssl'' et notamment la commande suivante:
| |
| <source lang="bash">
| |
| # mkdir /opt/ssl
| |
| # cd /opt/ssl
| |
| # openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout www.tala-informatique.fr.key -out www.tala-informatique.fr.crt
| |
| Generating a 2048 bit RSA private key
| |
| ...............+++
| |
| ..........................................+++
| |
| writing new private key to 'www.tala-informatique.fr.key'
| |
| -----
| |
| You are about to be asked to enter information that will be incorporated
| |
| into your certificate request.
| |
| What you are about to enter is what is called a Distinguished Name or a DN.
| |
| There are quite a few fields but you can leave some blank
| |
| For some fields there will be a default value,
| |
| If you enter '.', the field will be left blank.
| |
| -----
| |
| Country Name (2 letter code) [XX]:FR
| |
| State or Province Name (full name) []:Herault
| |
| Locality Name (eg, city) [Default City]:Juvignac
| |
| Organization Name (eg, company) [Default Company Ltd]:Tala
| |
| Organizational Unit Name (eg, section) []:Informatique
| |
| Common Name (eg, your name or your server's hostname) []:www.tala-informatique.fr
| |
| Email Address []:tala.informatique@gmail.fr
| |
| </source>
| |
|
| |
| === Utilisation de la clé et du certificat ===
| |
| Il faut maintenant les faire utiliser par Apache, ce qui se fait dans le fichier où vous avez déclaré vos hôtes virtuels.
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| ...
| |
|
| |
| SSLEngine on
| |
| SSLCertificateFile /opt/ssl/www.tala-informatique.fr.crt
| |
| SSLCertificateKeyFile /opt/ssl/www.tala-informatique.fr.key
| |
|
| |
| ...
| |
| </syntaxhighlight>
| |
|
| |
| On n’oublie pas de donner les droits à Apache:
| |
| <pre>
| |
| # chown -R apache. /opt/ssl
| |
| </pre>
| |
|
| |
| === Automatisation ===
| |
| Maintenant nous allons faire un script Shell, que j'ai nommé ''gen_ssl_tokens.sh'', pour automatiser tout cela:
| |
| <syntaxhighlight lang="bash">
| |
| #!/bin/bash
| |
|
| |
| ###########################
| |
| # Key name
| |
| KEY=valhalla.tala-informatique.fr.key
| |
| # Cert name
| |
| CRT=valhalla.tala-informatique.fr.crt
| |
| # Validity period
| |
| VALIDITY=365
| |
| # Destination directory
| |
| DST_DIR="/opt/ssl"
| |
| ###########################
| |
|
| |
| echo -n "Generating key and certificate: "
| |
| openssl req -x509 -nodes -days ${VALIDITY} -newkey rsa:2048 -keyout ${KEY} -out ${CRT} << EOF
| |
| FR
| |
| Herault
| |
| Juvignac
| |
| Tala
| |
| Informatique
| |
| www.tala-informatique.fr
| |
| tala.informatique.fr
| |
|
| |
| EOF
| |
|
| |
| echo ""
| |
| echo "ok."
| |
|
| |
| echo -n "Copying key and certificate: "
| |
| mv -f ${KEY} ${DST_DIR}/
| |
| mv -f ${CRT} ${DST_DIR}/
| |
| echo "ok."
| |
|
| |
| echo -n "Giving rights to Apache: "
| |
| chown -R apache. ${DST_DIR}
| |
| echo "ok."
| |
| </syntaxhighlight>
| |
|
| |
| On n'aura plus qu'à lancer le script pour générer automatiquement la clé et le certificat pour le renouvellement... Vous pouvez également utiliser [[cron]] !
| |
|
| |
| ==Let's Encrypt==
| |
| On peut également utiliser une autorité de certification pour générer le certificat à notre place. L'avantage est que le certificat sera reconnu par les navigateurs.
| |
| === Utilisation du client ACME (obsolète avec mod_md) ===
| |
| ==== Installation de acme.sh ====
| |
| Pour cela nous allons utiliser un script qui va faire le travail à notre place :
| |
| <pre>
| |
| # wget -O - --no-check-certificate https://get.acme.sh | sh
| |
| --2016-10-10 15:10:16-- https://get.acme.sh/
| |
| Résolution de get.acme.sh... 195.154.91.106
| |
| Connexion vers get.acme.sh|195.154.91.106|:443...connecté.
| |
| AVERTISSEMENT : impossible de vérifier l'attribut get.acme.sh du certificat, émis par «/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3» :
| |
| Le certificat émis a expiré.
| |
| requête HTTP transmise, en attente de la réponse...200 OK
| |
| Longueur: 671 [text/plain]
| |
| Sauvegarde en : «STDOUT»
| |
|
| |
| 100%[======================================================>] 671 --.-K/s ds 0s
| |
|
| |
| 2016-10-10 15:10:16 (95,3 MB/s) - envoi vers sortie standard [671/671]
| |
|
| |
| % Total % Received % Xferd Average Speed Time Time Time Current
| |
| Dload Upload Total Spent Left Speed
| |
| 100 100k 100 100k 0 0 478k 0 --:--:-- --:--:-- --:--:-- 1277k
| |
| [lun. oct. 10 15:10:17 CEST 2016] Installing from online archive.
| |
| [lun. oct. 10 15:10:17 CEST 2016] Downloading https://github.com/Neilpang/acme.sh/archive/master.tar.gz
| |
| [lun. oct. 10 15:10:18 CEST 2016] Extracting master.tar.gz
| |
| [lun. oct. 10 15:10:18 CEST 2016] It is recommended to install nc first, try to install 'nc' or 'netcat'.
| |
| [lun. oct. 10 15:10:18 CEST 2016] We use nc for standalone server if you use standalone mode.
| |
| [lun. oct. 10 15:10:18 CEST 2016] If you don't use standalone mode, just ignore this warning.
| |
| [lun. oct. 10 15:10:18 CEST 2016] Installing to /root/.acme.sh
| |
| [lun. oct. 10 15:10:18 CEST 2016] Installed to /root/.acme.sh/acme.sh
| |
| [lun. oct. 10 15:10:18 CEST 2016] OK, Close and reopen your terminal to start using acme.sh
| |
| [lun. oct. 10 15:10:18 CEST 2016] Installing cron job
| |
| [lun. oct. 10 15:10:19 CEST 2016] Good, bash is found, so change the shebang to use bash as prefered.
| |
| [lun. oct. 10 15:10:19 CEST 2016] OK
| |
| [lun. oct. 10 15:10:19 CEST 2016] Install success!
| |
| </pre>
| |
|
| |
| Une fois le script acme.sh installé, il suffit de recharger le contexte en exécutant la commande :
| |
| <source lang=bash>
| |
| # cd
| |
| # . .bash_profile
| |
| </source>
| |
|
| |
| ==== Création des certificats ====
| |
| Mainteant le script acme.sh est accessible dans le shell:
| |
| <pre>
| |
| acme.sh --issue -d tala-informatique.fr -d www.tala-informatique.fr -w /var/www/html
| |
| </pre>
| |
| Vous devriez voir la commande se finir par :
| |
| <font color=green>
| |
| Cert success.
| |
| </font>
| |
|
| |
| ==== Utilisation de la clé et du certificat ====
| |
| Il faut maintenant les faire utiliser par Apache, ce qui se fait dans le fichier où vous avez déclaré vos hôtes virtuels.
| |
|
| |
| <syntaxhighlight lang="apache">
| |
| ...
| |
|
| |
| SSLEngine on
| |
| SSLCertificateFile /opt/ssl/www.tala-informatique.fr.crt
| |
| SSLCertificateKeyFile /opt/ssl/www.tala-informatique.fr.key
| |
|
| |
| ...
| |
| </syntaxhighlight>
| |
|
| |
| ==== Installation des certificats ====
| |
| Il ne reste plus qu'a les installer dans le répertoire ''/opt/ssl/'' :
| |
| <pre>
| |
| # acme.sh --installcert -d www.tala-informatique.fr --certpath /opt/ssl/www.tala-informatique.fr.crt --keypath /opt/ssl/www.tala-informatique.fr.key --reloadcmd "service httpd restart"
| |
| </pre>
| |
| Cela va installer les certificats et redémarrer le serveur Apache !
| |
|
| |
| Maintenant, lorsque l'on se connecte on peut vérifier que le certificat est approuvé :
| |
| [[Fichier:Www.tala-informatique.fr-cert-letsencrypt.png|centré]]
| |
|
| |
| === Automatisation avec mod_md ===
| |
| Il est possible de faire toutes les étapes précédentes de manière transparente grâce au module Apache ''mod_md''.
| |
|
| |
| Commençons par l'installer:
| |
| <pre>
| |
| # yum -y install mod_md
| |
| </pre>
| |
| Une fois le module installé, nous allons ajouter la configuration suivante dans le fichier de votre hôte virtuel:
| |
| <syntaxhighlight lang="apache">
| |
| # Répertoire de stockage des certificats
| |
| MDStoreDir "/opt/ssl"
| |
| # Acceptation des accords de licence
| |
| MDCertificateAgreement accepted
| |
| # Domaine utilisé pour l’enrôlement, doit correspondre à votre DNS
| |
| MDomain www.tala-informatique.fr
| |
| # Administrateur du serveur, obligatoire pour Let's Encrypt
| |
| ServerAdmin tala.informatique@gmail.com
| |
| <VirtualHost *:443>
| |
| ...
| |
| # Nom de l'hôte virtuel
| |
| ServerName www.tala-informatique.fr
| |
| # Démarrage du moteur SSL/TLS sans préciser de certificats (mod_md s'en charge)
| |
| SSLEngine on
| |
| ...
| |
| </syntaxhighlight>
| |
| </pre>
| |
| Vous devez maintenant redémarrer votre serveur et nous allons le faire sans couper les connexions actives :
| |
| <pre>
| |
| # httpd -k graceful
| |
| </pre>
| |
| vous devriez apercevoir dans les logs ''/var/log/httpd/error_log'' les lignes suivantes:
| |
| <pre>
| |
| ...
| |
| AH10085: Init: www.tala-informatique.fr:443 will respond with '503 Service Unavailable' for now. There are no SSL certificates configured and no other module contributed any.
| |
| ...
| |
| AH10059: The Managed Domain www.tala-informatique.fr has been setup and changes will be activated on next (graceful) server restart.
| |
| ...
| |
| </pre>
| |
| Si vous ne voyez pas ces lignes, il y a une problème à l'enrôlement et vous devrez certainement activer le protocole HTTP sur le port 80.
| |
|
| |
| Il ne reste plus qu'a relancer le serveur pour prendre en compte les certificats :
| |
| <pre>
| |
| # httpd -k graceful
| |
| </pre>
| |
| Il ne vous reste plus qu'a tester avec un navigateur !
| |
|
| |
| = Un peu de sécurité =
| |
| Pour tester le niveau de sécurité offert par votre serveur, vous pouvez le faire tester par [https://www.ssllabs.com/ssltest/ ssllabs]. Gardez à l'esprit que plus le niveau de sécurité et élevé et plus les clients auront de mal à visiter votre site.
| |
|
| |
| A la fin de vos modifications, vous devriez avoir quelque chose comme ça !
| |
| [[Fichier:Ssllabs A grade.png|300px|centré]]
| |
| ==Modification des algorithmes de chiffrement ==
| |
| Cette modification permet la suppression des protocoles SSL-V2, SSL-V3 et TLS-V1 dont certains comportent la faille [https://blog.qualys.com/ssllabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack POODLE] ainsi que le retrait de tous les algorithmes reposant en partie sur RC4 et CBC (''cipher block chain'') vulnérables à l'attaque [https://en.wikipedia.org/wiki/Lucky_Thirteen_attack Lucky13].
| |
|
| |
| Dans votre fichier de configuration d'Apache, de préférence dans une section globale, ajoutez les lignes suivantes :
| |
| <syntaxhighlight lang="apache">
| |
| SSLProtocol All -SSLv2 -SSLv3 -TLSv1
| |
| SSLCipherSuite HIGH:!aNULL:!MD5
| |
| SSLHonorCipherOrder on
| |
| </syntaxhighlight>
| |
|
| |
| ==Ajout de la chaine de certification ==
| |
| Certain navigateur ne vont pas avoir ''confiance'' si le serveur ne fournit pas la chaine de certification complète en plus du certificat. Pour éviter ce problème, il suffit de l'inclure dans le fichier de configuration d'Apache mais, avant ça, de demander la génération de ce fichier. Ci dessous un exemple pour ''Let's Encrypt'':
| |
| <pre>
| |
| /root/.acme.sh/acme.sh --force --issue -d www.tala-informatique.fr -w /var/www/html
| |
| /root/.acme.sh/acme.sh --installcert -d www.tala-informatique.fr --certpath /opt/ssl/www.tala-informatique.fr.crt --keypath /opt/ssl/www.tala-informatique.fr.key --fullchain-file /opt/ssl/www.tala-informatique.fr.pem
| |
| </pre>
| |
| On voit l'ajout de ''--fullchain-file /opt/ssl/www.tala-informatique.fr.pem'' pour avoir la chaine de certification complète !
| |
|
| |
| Maintenant on peut modifier le fichier de configuration d'Apache. En dessous des lignes:
| |
| <syntaxhighlight lang="apache">
| |
| SSLEngine on
| |
| SSLCertificateFile /opt/ssl/www.tala-informatique.fr.crt
| |
| SSLCertificateKeyFile /opt/ssl/www.tala-informatique.fr.key
| |
| </syntaxhighlight>
| |
| On ajoute :
| |
| <syntaxhighlight lang="apache">
| |
| SSLCertificateChainFile /opt/ssl/www.tala-informatique.fr.pem
| |
| </syntaxhighlight>
| |
|
| |
| == Agrafage OCSP ==
| |
| Le protocole de contrôle du statut des certificats en ligne (''Online Certificate Status Protocol'') est un mécanisme permettant de déterminer si un certificat a été révoqué ou non. L'agrafage OCSP permet au serveur de maintenir une liste des réponses ''OCSP'' actuelles pour ses certificats et de les envoyer aux clients.
| |
| Cela permet au client de vérifier, très rapidement, si le certificat est valide sans avoir besoin d'ouvrir une nouvelle connexion vers l'autorité ''OSCP''.
| |
|
| |
| Pour activer cette fonctionnalité ajoutez les lignes suivantes dans la section globale:
| |
| <syntaxhighlight lang="apache">
| |
| SSLUseStapling On
| |
| SSLStaplingCache "shmcb:ssl_stapling(32768)"
| |
| </syntaxhighlight>
| |
| Attention, la mémoire de ''32768 Ko'' doit être modifiée en fonction du nombre de certificats que vous possédez sur le serveur. Certain certificats, avec la chaine complète, peuvent ''peser'' jusqu'à ''10Ko''...
| |
|
| |
| Vous pouvez tester le bon fonctionnement de l’agrafage avec la commande suivante :
| |
| <pre>
| |
| # openssl s_client -connect www.tala-informatique.fr:443 -status -servername www.tala-informatique.fr
| |
| </pre>
| |
| Dans le résultat, cherchez les lignes suivantes :
| |
| <pre>
| |
| OCSP Response Data:
| |
| OCSP Response Status: successful (0x0)
| |
| Response Type: Basic OCSP Response
| |
| ...
| |
| Cert Status: good
| |
| ...
| |
| </pre>
| |
|
| |
|
| = Exemple de configuration = | | = Exemple de configuration = |
