Outils pour utilisateurs

Outils du site

Piste:
linux:ssl (lu 59218 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
linux:ssl [10-04-2017 10:36]
edmc73 [2ème retour] 		linux:ssl [15-01-2018 08:46]
edmc73 [Commandes]
Ligne 2: Ligne 2:
  
 Ou comment avoir un **https** pour son site. Ou comment avoir un **https** pour son site.
 +
 +Cette page est à réorganiser car il y a eu beaucoup de test et certaines infos sont obsolètes. Voici quelques liens :
 +  * https://letsencrypt.org/ Fournisseur de certificat (voir plus bas dans la page)
 +  * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web
 +  * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré
  
  
Ligne 119: Ligne 124:
  </IfModule>  </IfModule>
 </code> </code>
 +
 +ou bien, variante fourni par letsencrypt
 +
 +<code>
 + <IfModule mod_ssl.c>
 +                # Baseline setting to Include for SSL sites
 +
 +                SSLEngine on
 +                
 +                # Intermediate configuration, tweak to your needs
 +                SSLProtocol             all -SSLv2 -SSLv3
 +                SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
 +                SSLHonorCipherOrder     on
 +                SSLCompression          off
 +
 +                SSLOptions +StrictRequire
 +
 +                # Add vhost name to log entries:
 +                LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
 +                LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common
 +
 +                #CustomLog /var/log/apache2/access.log vhost_combined
 +                #LogLevel warn
 +                #ErrorLog /var/log/apache2/error.log
 +
 +                # Always ensure Cookies have "Secure" set (JAH 2012/1)
 +                #Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"
 +
 +                SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
 +                SSLCertificateFile      /etc/letsencrypt/live/wiki.p2pfr.com/cert.pem
 +                SSLCertificateKeyFile   /etc/letsencrypt/live/wiki.p2pfr.com/privkey.pem
 +                SSLCertificateChainFile /etc/letsencrypt/live/wiki.p2pfr.com/chain.pem
 +                SSLCACertificateFile    /etc/letsencrypt/live/wiki.p2pfr.com/fullchain.pem
 +                SetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
 +
 +
 + </IfModule>
 +
 +</code>
 +
  
 On reload apache On reload apache
Ligne 319: Ligne 364:
  
 ===== 2ème retour ===== ===== 2ème retour =====
 +
 let's encrypt a changé de script. let's encrypt a changé de script.
  
Ligne 342: Ligne 388:
 La première fois, un email vous sera demandé ainsi qu'une validation de la licence, des infos seront stocké dans /etc/letsencrypt La première fois, un email vous sera demandé ainsi qu'une validation de la licence, des infos seront stocké dans /etc/letsencrypt
  
- +==== Commandes ==== 
-La commande qui va bien +<note>Partie fonctionnelle</note> 
 +La commande qui va bien, pensez bien à associer le certificat pour le nom de domaine + le www.
  
   # ./certbot-auto certonly --webroot -w /home/public_html/p2pfr.com -d p2pfr.com -d www.p2pfr.com --expand   # ./certbot-auto certonly --webroot -w /home/public_html/p2pfr.com -d p2pfr.com -d www.p2pfr.com --expand
Ligne 349: Ligne 396:
 Ne pas oublié un reload d'apache pour que le nouveau certificat soit pris en compte. Ne pas oublié un reload d'apache pour que le nouveau certificat soit pris en compte.
   service apache2 reload   service apache2 reload
 +
 +Pour voir la liste des certificats installés sur le système
 +  ./certbot-auto certificates
 +
 +Ensuite pour supprimer un certificat du système
 +  ./certbot-auto delete --cert-name p2pfr.com
 +
 +Si vous changer le path dans votre config apache, vous pouvez modifier la config letsencrypt à la main dans **/etc/letsencrypt/renewal/xxxx.conf** ensuite, tester si tout se passe bien avec la commande
 +  certbot renew --dry-run
 +===== Avec certbot de debian =====
 +
 +Maintenant certbot est directement intégré à debian 8 Jessie
 +
 +La tache renew est maintenant un peu plus complexe car elle utilise systemd mais aussi le cron au cas ou systemd serait absent..
 +
 +Bref, pour continuer de recevoir un mail à chaque renouvellement, il faut modifier le fichier **/lib/systemd/system/certbot.service** et ajouter du code après la commande **/usr/bin/certbot -q renew**
 +
 +<code bash>
 +[Unit]
 +Description=Certbot
 +Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html
 +Documentation=https://letsencrypt.readthedocs.io/en/latest/
 +[Service]
 +Type=oneshot
 +ExecStartPre=/usr/bin/perl -e 'sleep int(rand(3600))'
 +ExecStart=/usr/bin/certbot -q renew --no-self-upgrade --renew-hook 'service apache2 reload && echo "Mise à jour pour le domaine $RENEWED_DOMAINS" | mail -s "Mise à jour des certificats SSL" root'
 +PrivateTmp=true
 +</code>
 +
 +
  
 ===== Alternative à certbot ===== ===== Alternative à certbot =====
linux/ssl.txt · Dernière modification: 17-12-2023 10:35 de edmc73

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki