Éditeur : Psychz Networks, 17 février 2019
Vous aurez besoin d’accéder à un serveur CentOS 7 et Si vous ne l’avez pas encore configuré, vous pouvez utiliser le guide de configuration initiale du serveur CentOS 7. Vous devrez également avoir installé Apache afin de configurer des hôtes virtuels pour cela. Vous pouvez suivre le tutoriel d’installation de LAMP qui vous aidera avec les prérequis https://www.psychz.net/client/kb/en/installation-of-lamp-stack-on-centos-7.html
Dans le tutoriel suivant, nous verrons comment sécuriser le serveur Web Apache dans Centos-7 via SSL. Nous allons créer notre propre certificat et apprendre à le configurer. Si vous souhaitez héberger un site public prenant en charge SSL, vous devez acheter un certificat SSL auprès d’une autorité de certification de confiance.
Un certificat auto-signé est essentiellement signé par le créateur du certificat. Il peut être utilisé pour tester les serveurs locaux et l’environnement de développement. Bien que les certificats auto-signés offrent le même niveau de sécurité entre le site Web et le navigateur, la plupart des navigateurs Web affichent toujours un message d’alerte de sécurité indiquant que le certificat du site Web est auto-signé et ne peut pas être approuvé, car il n’est pas signé par l’autorité de certification.
Les certificats commerciaux sont des certificats autorisés émis par une autorité de certification de confiance qui sont fortement recommandés pour être utilisés dans un environnement de production.
Pour configurer le certificat auto-signé, vous devrez installer le module Apache mod_ssl dans votre système.
Étape 1: Installer Mod SSL
mod_ssl est un module Apache qui prend en charge le cryptage SSL. Il est nécessaire de configurer un certificat auto-signé.
# yum install mod_sslUne fois cela fait, Apache pourra commencer à utiliser un certificat SSL après son redémarrage.
Étape 2 : Créer un certificat auto-signé
Maintenant qu’Apache est prêt à utiliser le cryptage, nous pouvons passer à la génération d’un nouveau certificat SSL. Lors de la création du certificat, il nécessitera des informations de base sur votre site et sera accompagné d’un fichier clé permettant au serveur de gérer en toute sécurité des données cryptées.
Tout d’abord, nous allons créer un répertoire pour stocker notre clé privée (le fichier de certificat est stocké dans le répertoire /etc/ssl/certs)
# mkdir /etc/ssl/privateRendons ce répertoire « privé » uniquement accessible à l’utilisateur root pour des raisons de sécurité
# chmod 700 /etc/ssl/privateCréons maintenant le certificat avec la clé SSL. Cela peut être fait avec « openssl » avec des
# openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt– openssl : Il s’agit de l’outil de ligne de commande de base pour créer et gérer des certificats, des clés et d’autres fichiers OpenSSL.
– req-x509 : Le « X.509 » est une norme d’infrastructure à clé publique à laquelle SSL et TLS adhèrent pour la gestion des clés et des certificats.
-nodes : Cela indique à OpenSSL d’ignorer l’option pour sécuriser notre certificat avec une phrase secrète. Nous avons besoin d’Apache pour pouvoir lire le fichier, sans intervention de l’utilisateur, au démarrage du serveur. Une phrase secrète empêcherait cela de se produire, car nous devions la saisir après chaque redémarrage.
– jours 365 : Cette option définit la durée pendant laquelle le certificat sera considéré comme valide. Nous l’avons fixé pour un an ici.
– newkey rsa:2048 : La partie rsa:2048 lui indique de créer une clé RSA longue de 2048 bits. « newkey » spécifie que nous voulons générer un nouveau certificat et une nouvelle clé en même temps.
– keyout: Cette ligne indique à OpenSSL où placer le fichier de clé privée généré que nous créons.
– sortie: Cela indique à OpenSSL où placer le certificat que nous créons.
Country Name (2 letter code) :US
State or Province Name (full name) : John Doe
Locality Name (eg, city) : Los Angeles
Organization Name (eg, company) : Psychz Networks
Organizational Unit Name (eg, section) :IT
Common Name (eg, your name or your server's hostname) : Demo_server
Email Address : [email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password :
An optional company name : Les deux fichiers que vous avez créés seront placés dans les sous-répertoires appropriés du répertoire /etc/ssl.
Étape 3 : Configurez Apache pour utiliser le certificat SSL
Maintenant, tous les certificats sont prêts. La prochaine chose à faire est de configurer Apache pour afficher les nouveaux certificats.
Vous pouvez le faire en éditant le fichier de configuration SSL:
# vi /etc/httpd/conf.d/ssl.confTrouvez la section qui commence par. Décommentez la ligne DocumentRoot et ServerName et remplacez l’exemple.avec l’adresse IP ou le nom de domaine de votre serveur.
DocumentRoot "/var/www/html" ServerName www.demo_server.com:443SSLEngine onEnsuite, recherchez les lignes SSLCertificateFile et SSLCertificateKeyFile et mettez-les à jour avec le nouvel emplacement des certificats.
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.crt.keyAprès avoir apporté ces modifications, redémarrez le service Apache pour que les modifications prennent effet.
# systemctl restart httpdÉtape 4 : Testez le serveur Apache (HTTPS)
Pour vérifier que le serveur Web HTTPS sécurisé d’Apache fonctionne, ouvrez votre navigateur Web et tapez l’URL https://demo_server-ip-address. Une erreur devrait apparaître sur votre navigateur et vous devez accepter manuellement le certificat. Le message d’erreur apparaît car nous utilisons un certificat auto-signé au lieu d’un certificat signé par une autorité de certification approuvée par le navigateur, et le navigateur ne peut pas vérifier l’identité du serveur auquel vous essayez de vous connecter. Une fois que vous ajoutez une exception à la vérification d’identité du navigateur, vous devriez voir une page de test pour votre site nouvellement sécurisé.