Logo Khaganat

Wikhan

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fr:https_ssl [2023/12/17 09:24] – [Let's Encrypt] vite fait zatalyzfr:https_ssl [2025/11/18 10:44] (Version actuelle) – [Apache] YannK
Ligne 7: Ligne 7:
  
 ===== Pourquoi https ? ===== ===== Pourquoi https ? =====
-Lorsque vous vous rendez sur un site internet, un flux de données circulent entre votre ordinateur et celui du serveur où le site est hébergé. Pour certains sites, ça n'a pas grande importance que ce flux soit lisible par tous, mais à partir du moment où vous devez entrer un mot de passe, vous devriez passer par le protocole "https" qui garantit que les échanges entre vous et le serveur sont chiffrés. Donc, que les échanges ne sont pas faciles à espionner.+Lorsque vous vous rendez sur un site internet, un flux de données circulent entre votre ordinateur et celui du serveur où le site est hébergé. Pour certains sites, ça n'a pas grande importance que ce flux soit lisible par tous, mais à partir du moment où vous devez entrer un mot de passe, vous devez passer par le protocole "https" qui garantit que les échanges entre vous et le serveur sont chiffrés. Donc, que les échanges ne sont pas faciles à espionner.
  
   * [[http://www.bitdefender.fr/blog/Pourquoi-le-protocole-HTTPS-est-%28toujours%29-bon-pour-vous-437.html|Développement sur pourquoi https, c'est mieux pour celui qui navigue sur le web.]]   * [[http://www.bitdefender.fr/blog/Pourquoi-le-protocole-HTTPS-est-%28toujours%29-bon-pour-vous-437.html|Développement sur pourquoi https, c'est mieux pour celui qui navigue sur le web.]]
Ligne 13: Ligne 13:
   * Pour résumer, https, c'est un peu comme le préservatif : ça protège pas de tout, mais c'est le minimum pour éviter les ennuis.   * Pour résumer, https, c'est un peu comme le préservatif : ça protège pas de tout, mais c'est le minimum pour éviter les ennuis.
  
-===== Installer un certificat auto-signé ===== +<WRAP center round info 90%> 
-<WRAP center round important 60%> +Https est à présent une norme pour tout le contenu web et les navigateurs n'aiment pas du tout tomber sur des pages qui ne sont pas protégées par ce protocoleSoyez sérieuxmettez https partout.
-Un certificat auto-signé va générer une alerte sur tout navigateur sérieux. Le certificat installé est très basique et sert uniquement sur un serveur de test pour des tests autour de https. Il ne sera reconnu par aucune autorité. +
- +
-Il existe à présent Let's encrypt, qui vous fournit gratuitement un certificat reconnu. À l'heure où ces lignes sont écrites, il est encore en version bêta, pas exempt de défauts mais fonctionnel et donc à privilégier[[fr:https_ssl#let_s_encrypt|Voir plus bas]]. +
- +
-Le certificat auto-signé peut tout de même présenter un peu d'intérêten local ou si on travaille dans une vm sans accès web. Mais PAS en production.+
 </WRAP> </WRAP>
  
-**En root** 
  
-Installer le paquet ''ssl-cert''. Il va installer un certificat pré-configuré pour le serveur sur lequel il est installé+===== Let's Encrypt Certbot ===== 
 +Certbot est un client permettant d'obtenir un certificat auprès de l'entité Let's Encrypt.
  
-Vérifier que dans ''/etc/apache2/sites-available/default-ssl.conf'', les options ''SSLCertificateKeyFile'' et ''SSLCertificateFile'' pointent vers le certificat+Il est inclus dans la plupart des distributions linuxdont Debian : 
 +  sudo apt install certbot 
 +   
 +Lors de sa première utilisation (et suivant les options qu'on lui donne), il pose quelques questions, demandant notamment un email pour recevoir des notifications quand on oublie de renouveler. Il faut en effet demander tous les trois mois à renouveller le certificat, l'action s'automatisant très bien. 
  
-  SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem +==== Apache ====
-  SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key +
- +
- +
- +
-Activer la prise en charge de SSL : +
-  a2ensite default-ssl +
-  a2enmod ssl +
-  service apache2 restart +
- +
- +
- +
-Pour plus de détails sur l'installation d'un certificat auto-signé, si on souhaite utiliser une méthode moins "clé en main" : +
-  * http://blog.moncoindunet.fr/linux/openssl-creer-un-certificat-auto-signe/ +
-  * http://doc.ubuntu-fr.org/tutoriel/securiser_apache2_avec_ssl+
  
-===== Let's Encrypt ===== +<WRAP center round tip 60%> 
-<WRAP center round todo 60%> +Je déconseille de laisser certbot ajouter tout seul les informations dans Apache, il fait des crassesGénérez un certificat, modifiez à la main vos configurations Apache, ce sera mieux.
-Je note vraiment vite fait... histoire d'y retrouver... va falloir reprendre.+
 </WRAP> </WRAP>
 +Par défaut, les certificats se trouvent dans ''/etc/letsencrypt/live/''
  
-Demander la certification d'un seul domaine sans ajouter des crasses partout : +Demander la certification d'un seul domaine sans ajouter des crasses partout. Attention, il faut éteindre/allumer Apache pour que cette commande fonctionne  
 +  sudo service apache2 stop
   sudo certbot certonly --standalone -d mondomain.org   sudo certbot certonly --standalone -d mondomain.org
 +  sudo service apache2 start
  
-Les chemins à ajouter dans apache/nginx/autre seront :+Ou en une commande((Ça devrait marcher, mais j'ai oublié de tester.)) : 
 +  sudo certbot certonly --standalone -d mondomain.org --pre-hook "service apache2 stop" --post-hook "service apache2 restart" 
 + 
 +Les chemins à ajouter dans ''/etc/apache2/site-enabled/MONSITE-le-ssl.conf'' seront :
   SSLCertificateFile /etc/letsencrypt/live/mondomain.org/fullchain.pem   SSLCertificateFile /etc/letsencrypt/live/mondomain.org/fullchain.pem
   SSLCertificateKeyFile /etc/letsencrypt/live/mondomain.org/privkey.pem   SSLCertificateKeyFile /etc/letsencrypt/live/mondomain.org/privkey.pem
  
 +Pensez à rediriger tout votre flux du port 80 (http) vers le 443 (https), puis à redémarrer Apache.
  
 +Plus d'informations sur la [[fr:securite_sysadmin#securiser_apache|configuration sécurisée d'Apache]]. 
  
-==== Vieille doc à nettoyer ====+=== Sous-domaines et domaines différents sur la même machine === 
 +Il vaut mieux faire un fichier par //vhost// dans Apache. 
  
-<WRAP center round important 60%> +Si vous n'avez pas spécialement configuré Apachelet's encrypt peut générer automatiquement les versions sécurisées des vhosts (port 443, soit le "https")Mais je ne trouve pas ça très propre, aussi le conseil est plutôt de faire sa propre version du vhost 443 et de demander les certificats en mode "standalone"
-À mettre à jourcertbot est à présent dans les paquets des distrib et mérite un autre usage pour que ce soit moins n'importe quoiLes infos ci-dessous sont en partie obsolètes.+
  
-Je laisse pour le momentpas le temps de nettoyermais c'est à faire... +Let's encrypt semble repérer correctement les sous domaines dans le même fichier (nom1.mondomaine.comnom2.mondomaine.cometc.)((À éviter quand même, un fichier par sous-domaine c'est mieux.)), mais pas les noms de domaines différents (mondomaine.com et mondomaine2.com par exemple), qui doivent impérativement être dans deux fichiers de configuration différents
-</WRAP>+
  
-Créer un certificat avec Let's encrypt, c'est très simple !™ 
  
-Tout d'abord, se placer sur un compte utilisateur et récupérer le client Let's Encrypt (désormais appelé CertBot) :+==== Sur Nginx ==== 
 +Nginx a besoin d'être éteint pour obtenir un certficat en mode "certonly".
  
-<code> +Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur :  
-git clone https://github.com/certbot/certbot +<code>sudo service nginx stop 
-</code>+sudo certbot certonly --standalone -d monsite.mondomaine.org 
 +sudo service nginx start</code>
  
-et se placer dans le répertoire certbot.+Ou en une ligne :  
 +  sudo certbot certonly --standalone -d monsite.mondomaine.org --pre-hook "service nginx stop" --post-hook "service nginx restart"
  
-lancer le client +Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré. 
  
-<code> +Lors des renouvellements, éteindre à nouveau nginx et renouveler avec la commande suivante : 
-cd certbot +  sudo certbot renew
-sudo ./certbot-auto  +
-</code>+
  
  
-Les certificats se retrouvent dans /etc/letsencrypt/live/ une fois que le client a fini. Il pose quelques questions, notamment un email pour recevoir des notifications, et les noms de domaines pour lesquels on veut un certificat.+==== Renouveler le certificat ====
  
-Il demande aussi si on veut ou non une redirection automatique de http vers https. Permettez https partoutc'est plus sérieux.+Pour renouveler le certificatil suffit de lancer la commande suivante : 
 +  sudo certbot renew
  
-Il n'y a plus qu'a configurer apache2 avec ces certificats. Il a prévu un fichier de configuration avec ce qui existait déjàvérifiez qu'il convient. A priori tout ceci se finalise tout seul et il n'y a rien d'autre à faire désormais pour que ça marche, mais si vous visez le A+ il y aura quelques modifications à faire (listées plus bas).+Si vous n'avez que les certificats à renouveller sans laisser let's encrypt bidouiller vos confalors il faudra éteindre le serveur web (nginx ou apacheavant de renouveller, puis rallumerCela peut se faire en laissant Certbot gérer :
  
-Pour ce qui doit apparaître dans chacun des vhosts (''/etc/apache2/site-enabled/MONSITE-le-ssl.conf''), voir la [[fr:securite_sysadmin#securiser_apache|configuration sécurisée d'Apache]]. +  sudo certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 restart" 
 +  sudo certbot renew --pre-hook "service nginx stop" --post-hook "service nginx restart"
  
-==== Sous-domaines et domaines différents sur la même machine ==== 
-Pour que Let's encrypt puisse générer un certificat pour tous les domaines hébergés sur le serveur, il vaut mieux faire un fichier par //vhost// dans Apache. Faites uniquement les versions non sécurisées (port 80), let's encrypt génère automatiquement les versions sécurisées (port 443, soit le "https"). Vous pouvez désactiver les versions non sécurisées ensuite. 
  
-Let's encrypt semble repérer correctement les sous domaines dans le même fichier (nom1.mondomaine.comnom2.mondomaine.com, etc.)((À éviter quand même, un fichier par sous-domaine c'est mieux.)), mais pas les noms de domaines différents (mondomaine.com et mondomaine2.com par exemple), qui doivent impérativement être dans deux fichiers de configuration différents+Un cron tout les 90 jours suffirait à renouveler les certificatsExemple de cronavec renouvellement/vérification tous les mois (à 4h7 du matinet log de ce qui se fait : 
 +  7 4 * */1 * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx restart" > /root/renewlets.log
  
-==== Connaître la date d'expiration de son certificat let's encrypt ==== +Le log vous permettra de vérifier s'il y a eu des soucis. 
-Actuellement, la durée des certificats délivrés par let's encrypt est très courte : 90 joursVous recevrez un mail à l'adresse renseignée lors de la création du certificat, mais si vous avez beaucoup de domaines à gérer et que vous ne faites pas le tri dans les mails de temps en temps, comment savoir si vous avez déjà renouvelé ou pas ?+</WRAP>
  
-Voici un script inspiré [[https://blog.hbis.fr/2010/06/24/openssl-check_expire_date/|de celui-là]]((Merci à TychoBrahe pour les corrections.)), qui s'adapte à tous les certificats :  +==== Supprimer un certificat ==== 
-<code bash check_cert.sh> +Absolument nécessaire si on migre un site de machine... Il faut alors virer les restes sur l'ancienne machine, sinon cela fera des erreurs.
-#!/bin/bash +
-  +
-set -euo pipefail +
-IFS=$'\n\t' +
-  +
-  +
-error() { +
-msg="$1" +
->&2 echo "$msg" +
-exit 1 +
-+
-  +
-test $# -eq 0 && error "Usage: $0 <certificate_file>" +
-  +
-FILE="$1" +
-test ! -f "$FILE" && error "$FILE: file not found.+
-  +
-EXPIRE_DATE=$(openssl x509 -in "$FILE" -noout -enddate | cut -f2 -d=); +
-  +
-echo "Certificate file: $FILE"; +
-echo "Expiration date: $EXPIRE_DATE"; +
-  +
-exit 0; +
-</code>+
  
-Copiez ça dans un fichier ''check_cert.sh'' puis lancez la commande suivante +  sudo certbot delete --cert-name mondomaine.org 
-  ./check_cert.sh /etc/letsencrypt/live/monsite.net/cert.pem+===== Client Let's Encrypt ACMEd ===== 
 +Le client ACMEd est à privilégier si vous voulez une installation sécuriséeVoir le détail dans la [[fr:acmed|page dédiée]].
  
-À adapter suivant où le certificat est stocké+===== Installer un certificat auto-signé ===== 
 +<WRAP center round important 60%> 
 +Un certificat auto-signé va générer une alerte sur tout navigateur sérieux. Le certificat installé est très basique et sert uniquement sur un serveur de test pour des tests autour de https. Il ne sera reconnu par aucune autorité.
  
-==== Renouveler le certificat ====+Il existe à présent Let's encrypt, qui vous fournit gratuitement un certificat reconnu. Il n'y a quasiment aucune raison de ne pas l'utiliser, donc oubliez les certificats auto-signés et utilisez Let's encrypt.
  
-Pour renouveler le certificat, il suffit de lancer la même commande que pour l'installer : +Le certificat auto-signé peut tout de même présenter un peu d'intérêt, en local ou si on travaille dans une vm sans accès web. C'est la raison pour laquelle la doc reste ici. Mais PAS en production
-<code> +</WRAP>
-cd letsencrypt +
-sudo ./certbot-auto  +
-</code>+
  
-<WRAP center round tip 90%> +**En root**
-Pour renouveler tout automatiquement, sans interaction, la commande suivante semble la bonne : +
-  certbot-auto renew+
  
-Dans ce cas, un cron tout les 90 jours suffirait à renouveler les certificatsExemple de cron, avec renouvellement tous les deux mois et log de ce qui se fait : +Installer le paquet ''ssl-cert''Il va installer un certificat pré-configuré pour le serveur sur lequel il est installé
-  1 1 1 2,4,6,8,10,12 * /root/certbot/certbot-auto renew > /root/renewlets.log+
  
-Le log vous permettra de vérifier s'il y a eu des soucis. +Vérifier que dans ''/etc/apache2/sites-available/default-ssl.conf'', les options ''SSLCertificateKeyFile'' et ''SSLCertificateFile'' pointent vers le certificat
-</WRAP>+
  
-==== Sur Nginx ==== +  SSLCertificateFile      /etc/ssl/certs/ssl-cert-snakeoil.pem 
-Nginx est un peu moins automatique.+  SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
  
-Commencez par demander un certificat SSL. Il faut arrêter nginx sinon ça fait une erreur :  
-<code>sudo service nginx stop 
-sudo certbot certonly --standalone -d monsite.mondomaine.org 
-sudo service nginx start</code> 
  
-Voir [[fr:nginx#exemple_de_configuration|l'exemple de configuration de nginx]] et la partie sur le port "443" pour ensuite déclarer correctement le certificat généré.  
  
-Lors des renouvellements, éteindre à nouveau nginx (?) et renouveler avec la commande suivante +Activer la prise en charge de SSL 
-  sudo certbot renew+  a2ensite default-ssl 
 +  a2enmod ssl 
 +  service apache2 restart
  
-===== Client Let's Encrypt ACMEd ===== + 
-Le client ACMEd est à privilégier si vous voulez une installation sécuriséeVoir le détail dans la [[fr:acmed|page dédiée]].+ 
 +Pour plus de détails sur l'installation d'un certificat auto-signé, si on souhaite utiliser une méthode moins "clé en main" : 
 +  * http://blog.moncoindunet.fr/linux/openssl-creer-un-certificat-auto-signe/ 
 +  * http://doc.ubuntu-fr.org/tutoriel/securiser_apache2_avec_ssl
  
 ===== Améliorer et tester la sécurité du site via https ===== ===== Améliorer et tester la sécurité du site via https =====
CC Attribution-Share Alike 4.0 International Driven by DokuWiki
fr/https_ssl.1702805044.txt.gz · Dernière modification : de zatalyz
Licences Mentions légales Accueil du site Contact Inclusion