Outils pour utilisateurs

Outils du site

Piste:
linux:ssl (lu 57508 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Prochaine révision Les deux révisions suivantes
linux:ssl [15-05-2017 11:30]
edmc73 		linux:ssl [29-01-2018 14:37]
edmc73 [Avec certbot de debian]
Ligne 2: Ligne 2:
  
 Ou comment avoir un **https** pour son site. Ou comment avoir un **https** pour son site.
 +
 +Cette page est à réorganiser car il y a eu beaucoup de test et certaines infos sont obsolètes. Voici quelques liens :
 +  * https://letsencrypt.org/ Fournisseur de certificat (voir plus bas dans la page)
 +  * https://mozilla.github.io/server-side-tls/ssl-config-generator/ un générateur de config pour votre serveur web
 +  * https://www.ssllabs.com/ssltest/ pour tester sir votre site est bien configuré
  
  
Ligne 119: Ligne 124:
  </IfModule>  </IfModule>
 </code> </code>
 +
 +ou bien, variante fourni par letsencrypt
 +
 +<code>
 + <IfModule mod_ssl.c>
 +                # Baseline setting to Include for SSL sites
 +
 +                SSLEngine on
 +                
 +                # Intermediate configuration, tweak to your needs
 +                SSLProtocol             all -SSLv2 -SSLv3
 +                SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
 +                SSLHonorCipherOrder     on
 +                SSLCompression          off
 +
 +                SSLOptions +StrictRequire
 +
 +                # Add vhost name to log entries:
 +                LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined
 +                LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common
 +
 +                #CustomLog /var/log/apache2/access.log vhost_combined
 +                #LogLevel warn
 +                #ErrorLog /var/log/apache2/error.log
 +
 +                # Always ensure Cookies have "Secure" set (JAH 2012/1)
 +                #Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "$1; Secure$3$4"
 +
 +                SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM
 +                SSLCertificateFile      /etc/letsencrypt/live/wiki.p2pfr.com/cert.pem
 +                SSLCertificateKeyFile   /etc/letsencrypt/live/wiki.p2pfr.com/privkey.pem
 +                SSLCertificateChainFile /etc/letsencrypt/live/wiki.p2pfr.com/chain.pem
 +                SSLCACertificateFile    /etc/letsencrypt/live/wiki.p2pfr.com/fullchain.pem
 +                SetEnvIf User-Agent “.*MSIE.*” nokeepalive ssl-unclean-shutdown
 +
 +
 + </IfModule>
 +
 +</code>
 +
  
 On reload apache On reload apache
Ligne 358: Ligne 403:
   ./certbot-auto delete --cert-name p2pfr.com   ./certbot-auto delete --cert-name p2pfr.com
  
- +Si vous changer le path dans votre config apache, vous pouvez modifier la config letsencrypt à la main dans **/etc/letsencrypt/renewal/xxxx.conf** ensuite, tester si tout se passe bien avec la commande 
-===== Avec certbot de de debian =====+  certbot renew --dry-run 
 +===== Avec certbot de debian =====
  
 Maintenant certbot est directement intégré à debian 8 Jessie Maintenant certbot est directement intégré à debian 8 Jessie
Ligne 379: Ligne 425:
 </code> </code>
  
 +===== Config apache pour centraliser les acme-challenge =====
 +
 +En mode certonly, letsencrypt crée un répertoire à la racine de votre site web **.well-known/acme-challenge/xxxxxxxxxxxxx** pour vérifier que votre serveur appartient bien au nom de domaine. Oui mais voila, dans certain cas, vous avez configuré votre site web soit en full https, donc http non dispo, ou alors il y a une application qui redirige toutes les urls vers un script, bref, pas possible d'accéder au répertoire.
 +
 +Nous allons créer une config apache qui va centraliser toutes ces demandes dans un répertoire unique, par exemple **/var/www/letsencrypt**
 +
 +Créez le répertoire **/var/www/letsencrypt**
 +  mkdir /var/www/letsencrypt
 +
 +Créez le fichier **/etc/apache2/conf-available/letsencrypt.conf**
 +<code apache>
 +Alias /.well-known/acme-challenge /var/www/letsencrypt/.well-known/acme-challenge
 +<Directory "/var/www/letsencrypt/.well-known/acme-challenge">
 +    Options -Indexes
 +    AllowOverride all
 +    Require all granted
 +</Directory>
 +</code>
  
 +  a2enconf letsencrypt
 +  systemctl reload apache2
  
 +et maintenant la commande certbot a utiliser
 +  certbot certonly --webroot -w /var/www/letsencrypt/ -d edmc73.com
 +Ce sera le même répertoire pour tous les domaines de votre serveur.
 ===== Alternative à certbot ===== ===== Alternative à certbot =====
  
linux/ssl.txt · Dernière modification: 17-12-2023 10:35 de edmc73

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki