Accéder au contenu principal

Sécuriser Apache2 avec SSL

Par

Ce tutoriel présente une procédure permettant de sécuriser un hôte virtuel grâce au protocole SSL.

Introduction

Le protocole SSL

SSL est un protocole qui a été développé par la société Netscape.
Ce protocole permet à deux machines de communiquer de manière sécurisée. Les informations échangées entre les deux machines sont de ce fait inviolables.
Le protocole SSL se traduit par la combinaison de deux protocoles bien distincts (Handshake et Record) qui permettent la négociation entre les deux machines et le chiffrement des données échangées.
plus d'informations concernant le fonctionnement du Protocole SSL

 

Les Certificats

Un certificat permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une clé publique qui est indispensable pour que la communication entre les machines soit chiffrée.
De même, afin de garantir l'authenticité du certificat, ce dernier est signé numériquement par le biais d'une clé privée provenant soit d'un organisme officiel (Société spécialisée dans la certification) soit par le détenteur du Certificat lui même. Dans ce dernier cas, on parlera de certificat auto-signé.
Dans la plupart des cas, l'obtention d'un Certificat certifié par une autorité officielle ayant un prix assez élevé, les webmasters auront tendance a vouloir signer eux-même leur certificat. Ce faisant, il est à noter que dans ce cas, le certificat ne sera pas reconnu par les navigateurs web comme étant certifié.
CA Cert permet d'obtenir des certificats gratuits. Il vous faudra néanmoins installer le certificat racine dans votre navigateur.
Dans ce tutoriel, la procédure présentée explique la marche à suivre pour mettre en place un Site Web sécurisé via protocole SSL en utilisant un Certificat auto-signé.
Pour ce tutoriel, nous supposons que nous avons déjà mis en place un hôte virtuel basé sur le nom nommé monsite.com, ce dernier étant accessible sur le port 80 à l'adresse http://monsite.com

Mise en application avec le Serveur Http Apache2

Activation du module SSL

Pour que le protocole SSL puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module ssl avec la commande : 
sudo a2enmod ssl
puis recharger la configuration d'Apache2 faites : 
sudo service apache2 force-reload
Ou si vous êtes sur une ancienne version d'Ubuntu : 
sudo /etc/init.d/apache2 force-reload

Création du certificat

Installer si necessaire le package : apt-get install ssl-cert (déjà installé sous Lucid)
Pour générer un certificat auto-signé avec Ubuntu, il nous suffit de taper les commandes suivantes dans un terminal :
  • Créer le certificat ssl :
    sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/localhost.pem
  • Pour un certificat d'autorité gratuit ⇒ StartSSL ( Ne provoque pas d'exception de sécurité sur le navigateur )
Suivre ensuite la méthode 1 pour la Configuration Apache2.

Hardy Héron

On peut créer son certificat SSL auto signé en installant le paquet openssl.
 → Il est aussi possible d'installer ca-certificates, mais ça ne semble pas utile dans le cas d'un certificat auto-signé.
Plutôt que de repartir de l'ancien script, je propose de se baser sur la doc de apache. 
sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/apache2/server.crt -keyout /etc/apache2/server.key
Explications :
  • -x509 -nodes donne le type de certificat voulu
  • -days 365 indique la durée de validité (en jours) de votre certificat
  • -newkey rsa:1024 demande une clé RSA de 1024 bits - d'après la doc apache, il est déconseillé de créer une clé plus grosse pour des histoires de compatibilité
  • -out /etc/apache2/server.crt est le chemin de votre certificat
  • -keyout /etc/apache2/server.key est le chemin de la clé privée
Répondez alors aux questions posées : 
Country Name (2 letter code) [GB]:
Entrez FR si vous êtes situé en France et validez par la touche « Entrée » 
State or Province Name (full name) [Some-State]:
Entrez FRANCE et validez par la touche « Entrée » 
Locality Name (eg, city) []:
Indiquez ici le nom de votre ville. (exemple : CAEN) et validez par la touche « Entrée » 
Organization Name (eg, company; recommended) []:
Indiquez le nom de votre organisation, de votre société. (exemple : france-hosting) et validez par la touche « Entrée ». Si vous n'avez pas de société, vous pouvez mettre un nom fictif, le nom de notre site Web par exemple. 
Organizational Unit Name (eg, section) []:
Indiquez ici le nom de la section de votre organisation, de votre société. Si vous n'en avez pas, mettez la même chose que pour la question précédente. 
Common Name (eg, YOUR name) []:
Ici, il convient de faire particulièrement attention à ce que vous allez entrer. Vous devez indiquer le nom de domaine que vous désirez sécuriser. En ce qui nous concerne, il s'agit du domaine : monsite.com. Nous indiquons donc monsite.com et nous validons par la touche « Entrée ». 
Email Address []:
Ici, il s'agit d'indiquer l'adresse E-mail de l'administrateur. En ce qui nous concerne, il s'agit de : admin@nuxwin.com. Nous terminons bien entendu en validant par la touche « Entrée ».
Enfin, on empêche les curieux de lire notre clé privée : 
sudo chmod 440 /etc/apache2/server.key
Suivre ensuite la méthode 2 pour la Configuration Apache2.

Configuration Apache2

Méthode 1 : en se basant sur la configuration du site par défaut

  • Se placer dans le dossier de configuration des sites apache : 
    cd /etc/apache2/sites-available/
  • Recopier la configuration par défaut pour la nouvelle configuration ssl :
    sudo cp default ssl
  • Assigner le port ssl :
    sudo sed -i '1,2s/\*:80/*:443/' ssl
  • Ajouter les directives SSLEngine On et SSLCertificateFile /etc/ssl/private/localhost.pem à la configuration :
    sudo sed -i "3a\\\tSSLEngine On\n\tSSLCertificateFile /etc/ssl/private/localhost.pem" ssl
  • Activer la configuration du site ssl :
    sudo a2ensite ssl

Méthode 2

Ajout de la directive Listen 443
Par défaut, Apache2 est configuré pour écouter sur le port 80. Il s'agit là de la configuration usuelle d'un Serveur Web. Cependant, le protocole SSL a besoin d'un port spécifique pour pouvoir fonctionner. Il s'agit du port 443.
Nous allons donc rajouter une directive de configuration nommée Listen qui permettra d'indiquer à Apache2 qu'il doit aussi écouter sur le port 443.
Pour ce faire, éditez le fichier /etc/apache2/ports.conf et rajoutez la ligne suivante : 
Listen 443
Création du fichier de configuration
Ayant déjà configuré notre hôte virtuel nuxwin.com, un fichier de configuration nommé monsite.com.conf doit exister dans le répertoire /etc/apache2/sites-available.
Voici le contenu de ce fichier : 
<VirtualHost 192.168.0.2:80>
 DocumentRoot /var/www/monsite.com
 ServerName monsite.com
</VirtualHost>
Note : Il s'agit ici du contenu minimal d'un virtualhost.
Pour sécuriser cet Hôte Virtuel, nous allons donc devoir modifier ce fichier en y ajoutant un hôte virtuel accessible sur le port 443, ce dernier contenant des directives particulières qui sont les suivantes :
  1. Directive SSLEngine :
    Cette directive permet d'activer le moteur SSL au sein d'un hôte virtuel, Elle peut prendre deux arguments –> on/off
  2. Directive SSLCertificateFile :
    Cette directive définit le certificat authentifiant le Serveur auprès des clients. L'argument est le chemin d'accès au certificat. En ce qui nous concerne, le certificat se trouve dans le répertoire /etc/apache2/
  3. Directive SSLCertificateKeyFile :
    Cette directive définit la clé privée du Serveur utilisée pour signer l'échange de clé entre le client et le serveur. Elle prend en argument le chemin d'accès à la clé (fichier). Dans notre cas, la clé se trouve dans le répertoire /etc/apache2/.
Par ailleurs, comme nous l'avons déjà fait pour notre hôte virtuel accessible sur le port 80, nous allons devoir rajouter une directive NameVirtualHost qui permettra que l'adresse nommée par le nom de notre hôte virtuel accessible sur le port 443 soit résolue correctement. Nous rajouterons donc cette directive (NameVirtualHost 192.168.0.2:443) au début de notre fichier de configuration.
Enfin, afin que les clients puissent continuer d'accéder au site Web en tapant une url de type http et non https, nous allons modifier l'hôte virtuel accessible sur le port 80 en remplaçant la directive DocumentRoot par une directive de redirection.
Voici donc le contenu de notre fichier une fois modifié : 
NameVirtualHost  192.168.0.2:443

<VirtualHost 192.168.0.2:80>
    ServerName monsite.com/
    Redirect / https://monsite.com/
</VirtualHost>

<VirtualHost 192.168.0.2:443>
 ServerName monsite.com
 DocumentRoot /var/www/monsite.com

 SSLEngine on
 SSLCertificateFile /etc/apache2/server.crt
 SSLCertificateKeyFile /etc/apache2/server.key
</VirtualHost>

Reload du Serveur Http Apache2

Afin que les modifications que nous venons d'effectuer soient prises en compte, nous devons demander au Serveur Http Apache2 de relire ses fichiers de configuration.
Pour ce faire, il suffit de taper la commande suivante dans un terminal : 
sudo /etc/init.d/apache2 reload
Normalement, si tout s'est bien passé, vous devriez désormais avoir accès à votre site Web de manière sécurisée.

Méthode simplissime

J'ai réussi a sécuriser mon serveur en 2 lignes de codes : 
sudo a2enmod ssl
sudo a2ensite default-ssl
Et pour ensuite bloquer le http, j'ai mis "Deny from all" partout où il y avait "Allow from all" dans le fichier /etc/apache2/sites-available/default et j'ai bloqué le port 80. Cela me semble beaucoup plus simple, voire trop simple, mais ça fonctionne très bien (je l'ai fait sous debian wheezy, donc il y a peut être une différence)
Et on reload . 
sudo service apache2 reload

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Dossier de base sur un serveur Windows

Par
Dossier de base Pour les utilisateurs de domaine Windows AD, il est possible de créer un dossier de base via l’activation du service dossier utilisateur. Ainsi, chaque utilisateur du domaine disposera d’un dossier personnel pour le stockage et la sauvegarde de ses fichiers sur le serveur de partage. Le dossier utilisateur permet de plus aux administrateurs de sauvegarder les fichiers de chacun des utilisateurs.
Enregistrer un commentaire
Lire la suite

Le protocole ICMP | Echo Echo Response : Le ping | Le TTL

Par
Le protocole ICMP Introduction Nous avons pu remarquer dans les chapitres précédents qu'IP était essentiellement accès sur les fonctions d'adressage et de routage. Il est configuré pour fonctionner comme si aucun problème ne pouvait survenir sur le réseau ( perte de datagrammes, congestion, problème de routage, etc .). Si un problème survient, sa solution est expéditive :  il ne route pas  ! Il a tout juste accepté de prendre en charge les problèmes de fragmentation ! Ce mode de fonctionnement n'est pas un problème en soi ( il suffit de regarder la notoriété et l'implantation d'IP ! ). Mais il est nécessaire de pouvoir dans certains cas informer les émetteurs du devenir de leurs datagrammes. C'est le rôle d' ICMP  ( I nternet  C ontrol  M essage  P rotocol) qui, comme son nom l'indique, est un  protocole d'information du contrôle de réseau . ICMP ne résoud rien, ou du moins pas grand chose, il informe ! Lorsque certains problèmes de
Enregistrer un commentaire
Lire la suite

Guide pas à pas de la gestion de l’impression dans Windows Server 2008

Par
S'applique à: Windows Server 2008, Windows Server 2008 R2 Deux outils principaux peuvent être utilisés pour administrer un serveur d’impression Windows dans Windows Server® 2008 : Gestionnaire de serveur et Gestion de l’impression. Vous pouvez utiliser le Gestionnaire de serveur pour installer le rôle serveur Services d’impression, des services de rôle facultatifs et des fonctionnalités. Le Gestionnaire de serveur affiche également les événements liés à l’impression à partir de l’Observateur d’événements et inclut une instance du composant logiciel enfichable Gestion de l’impression qui peut uniquement administrer le serveur local. La gestion de l’impression, qui constitue l’objet principal du présent document, offre une interface unique que les administrateurs peuvent utiliser pour administrer efficacement plusieurs imprimantes et serveurs d’impression. Vous pouvez utiliser la gestion de l’impression pour gérer des imprimantes sur des ordinateurs
Enregistrer un commentaire
Lire la suite