Scuriser Apache avec TLS (SSL)

nico@nicodewaele.info www.nicodewaele.info

Nicolas Dewaele

Scuriser Apache avec TLS (SSL)

I- Cration d'un certificat auto-sign sous Debian :
Pour utiliser le SSL et crer un certificat sous Debian, vous devez installer les paquets suivants avec aptitude : openssl, ssl-cert et libssl0.9.8 Nous allons ensuite nous placer dans le rpertoire d'Apache 2 (/etc/apache2) pour gnrer le certificat au bon endroit : cd /etc/apache2

Cration de la cl prive RSA :

Cette commande va vous permettre de gnrer une cl RSA : openssl genrsa -out server.key 1024

Gnration d'un certificat auto-sign :

Attention : Si le certificat est auto-sign, les versions rcentes de Firefox et IE prviennent le client que le certificat n'a pas t cr par un organisme de certification. La certification d'un site SSL par un organisme, est trs coteuse, c'est pourquoi cette opration ne s'adresse pas aux particuliers mais uniquement aux sites de vente en ligne. A partir de la cl de tout l'heure, vous allez pouvoir crer un certificat gnrique pour votre organisme :
openssl req -new -key server.key -out server.csr

Vous devrez rpondre ensuite aux questions qui permettront d'identifier votre organisme : Code de pays tat Ville Entreprise Section de l'entreprise Nom du responsable du site scuris e-mail du responsable Enfin, vous allez pouvoir crer le certificat utilisable par les visiteurs au format x509 pour une certaine dure (dans cet exemple 1 an) : openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Dernires modifications le 11/01/09 - Page 1 -

Scuriser Apache avec TLS (SSL)

nico@nicodewaele.info www.nicodewaele.info

Nicolas Dewaele

II- Activation d'un site scuris sous Apache :

Activer le SSL dans Apache 2 :
Pour avoir la liste complte des modules de Apache 2, on peut faire : ls /etc/apache2/mods-available Pour activer un module de Apache 2 on utilise la commande a2enmod. Le SSL est peut tre dj activ mais pour le vrifier on peut taper : a2enmod ssl

Modification des ports d'coute :

Vrifiez dans le fichier /etc/apache2/ports.conf si il existe le port 443 pour le module SSL. Si ce n'est pas le cas, vous pouvez ajouter une ligne : Listen 443

Nouveau site virtuel :

Crez un nouveau site virtuel (fichier dans /etc/apache2/sites-available/ ). Dans ce fichier vous pouvez crire les lignes suivantes : NameVirtualHost www.votreserveur.com:443
<VirtualHost www.votreserveur.com:443> DocumentRoot /var/www/repduserveur ServerName www.votreserveur.com <Directory /var/www/repduserveur> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from all </Directory> SSLEngine on SSLCertificateFile /etc/apache2/server.crt SSLCertificateKeyFile /etc/apache2/server.key </VirtualHost>

Redmarrage et test :
Il ne reste qu' recharger le serveur Apache : /etc/init.d/apache2 reload Pour tester ce serveur scuris, vous pouvez aller sur : https://www.votreserveur.com/ Vous devriez avoir un avertissement car ce certificat est auto-sign. Vrifiez le contenu du certificat. Vrifiez par une analyse de trame que les informations ne sont pas lisibles.

Dernires modifications le 11/01/09 - Page 2 -