SSL pour Apache 2 sous Debian

Dans le cadre de mes fonction au Lycée Hôtelier de La Rochelle, j’ai été amené a mettre en place un serveur GEPI. GEPI est un utilitaire de gestion web de notes et de cahier de texte qui nécessite, de préférence, un hébergement sécurisé par SSL. La documentation de l’éditeur étant limité à l’installation sur un système Sarge et donc avec Apache 1.3, j’ai du l’adapter à Apache2. Ayant réalisé un petit howto pour mes collègues, je vous transcrit ici la partie concernant l’installation d’apache avec SSL et la création des certificat qui vont de pair.

D’après les sources suivantes :
Configuration du serveur Debian GNU/Linux – Installation de GEPI [PDF]
Installer une solution LAMP [HTML – 17/09/2007]
Apache Server Verson 2.0 – SSL/TSL Strong Encryption : FAQ [HTML – English]

1. Prérequis d’installation

1.1 Connaissances

Pour se sentir à l’aise avec cette documentation, il est préférable d’avoir quelques connaissances de base concernant GNU/Linux notamment en ce qui concerne l’utilisation de la ligne de commande. Cependant, si vous suivez à la lettre les informations données ici, vous devriez être apte à installer votre système sans problème.

1.2 Système Debian GNU/Linux

Avant de commencer la mise en service du serveur Apache2, vous devez avoir installé Debian GNU/Linux en version Etch. Dans la mesure où le risque de faille de sécurité augmente avec le nombre de paquets installé, il est recommandé d’utiliser une installation minimale. L’installation d’une interface graphique et donc plutôt déconseillée. Pour obtenir de l’aide à l’installation Debian GNU Linux, vous pouvez vous baser sur la documentation de GEPI qui a été réalisée pour la version précédente de Debian, mais qui peut être facilement adaptée ou sur l’excellent document Formation Debian GNU/Linux d’Alexis de Lattre (chapitre I).

1.3 Conventions typographiques

Les commandes à saisir en console sont écrites de la manière suivante :

$ apt-get install ntpdate

Le signe $ qui les précède n’est pas à recopier, il sert uniquement à illustrer le prompt de la ligne de commande.

1.4 Mise en service de la synchronisation de l’heure par Internet

Il est utile que le système soit à l’heure, nous allons donc installer ntpdate qui permet de synchroniser l’heure et la date par Internet :

$ apt-get install ntpdate

Pour régler l’heure vous pouvez utiliser la commande suivante :

$ dpkg-reconfigure ntpdate

1.5 Installation de l’éditeur nano

Pour simplifier la création de fichiers texte avec la console, nous allons installer l’éditeur de texte nano.

$ apt-get install nano

Les habitués pourront toujours se tourner vers vi.

2 Mise en service d’Apache2 avec SSL

2.1 Création des certificats

Pour authentifier notre serveur, nous allons créer un certificat autosigné. Ce type de certificat est moins reconnu que ceux fournis par une autorité officielle, mais permet de mettre en place un chiffrage SSL à peu de frais. Sa durée de vie par défaut est limitée à un mois, mais nous allons l’étendre à un an afin de couvrir une période scolaire suffisamment longue. Pour plus de sécurité, il est toujours envisageable de choisir une période de vie plus courte ou de se tourner vers une autorité officielle. Commençons par générer la clef RSA 1024 bits. Cette clef peut aussi être protégée par une passphrase, mais, dans ce cas, il faudra la saisir à chaque lancement du service Apache2.

$ openssl genrsa -out server.key 1024

Une fois la clef générée nous pouvons passer au certificat autosigné :

$ openssl req -new -x509 -days 365 -key server.key -out server.crt

Lors de la génération du certificat, vous devrez répondre à un certain nombre de questions. Soyez vigilant en ce qui concerne le “common name”, il faudra y mettre le nom ou, le cas échéant, l’adresse IP de votre serveur. Dans le cas contraire, le client internet retournera une erreur comme quoi le nom du propriétaire du certificat ne correspond pas à celui du site. Voici l’exemple de mon serveur GEPI…

$ openssl req -new -x509 -days 365 -key server.key -out server.crt

You are about to be asked to enter information that will be incorporated
 into
your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,
If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:FR

State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:La Rochelle

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Education Nationale

Organizational Unit Name (eg, section) []:Lycée Hôtelier de La Rochelle

Common Name (eg, YOUR name) []:194.254.62.20

Email Address []:ce.0123xyz@ac-poitiers.fr

Puisque ce certificat n’est pas fourni par un tiers de confiance, le client Internet retournera une anomalie lors de l’affichage du site. Cela est normal et n’affecte en rien l’utilisation et la sécurité de site. Il est par ailleur possible d’obtenir un « vrais » certificat chez Verisign, Thawte out autre.

2.2 Activation de SSL pour Apache2

Pour utiliser les clefs réalisées précédemment avec votre serveur Apache2, il est nécessaire d’activer le module SSL qui est maintenant livré avec le serveur web.

$ a2enmod ssl

On peut placer la clef et son certificat à n’importe quel endroit. Cependant, pour simplifier ce document, nous décidons de créer un répertoire spécifique dans l’arborescence d’Apache2.

$ mkdir /etc/apache2/ssl$ cp server.* /etc/apache2/ssl

Le service SSL est maintenant activé et les certificats sont en place, nous pouvons donc passer à la configuration du site.

3. Configuration du site dans Apache2

Apache2 est capable de gérer plusieurs sites, nous allons créer une configuration spécifique pour notre site en utilisant l’éditeur nano.

$ nano /etc/apache2/sites-available/gepi.conf

Une fois nano lancé, nous allons définir les différentes informations propre au site. La section VirtualHost doit retourner l’adresse IP ou le nom de domaine de votre serveur .

  # Nom du serveur et emplacement des fichiers

ServerName           Gepi_LTH
DocumentRoot         /var/www/

 
# Activation de SSL et emplacement des clefs

SSLEngine            on
SSLCertificateFile   /etc/apache2/ssl/server2.crt

SSLCertificateKeyFile   /etc/apache2/ssl/server2.key
 

# Définition des charset français (au cas où...)
AddDefaultCharset    ISO-8859-15
AddCharset           ISO-8859-15 .iso-8859-15 .latin15 .fr

Pour sauvegarder ce fichier utilisez la combinaison de touches [ctrl] + [x] puis quittez avec [ctrl] + [q]. Vous remarquerez que nous demandons à Apache2 d’écouter sur le port 443, le port spécifique au service https. Il sera indispensable de vérifier que la configuration de votre routeur pends en compte cette nécessité. Enfin, pour activer le site, il faut l’ajouter aux sites-enable et relancer le service Apache2 :

$ ln -s /etc/apache2/sites-available/gepi.conf /etc/apache2/sites-enabled/gepi
$ /etc/init.d/apache2 force-reload

Vous pouvez maintenant tester votre site en saisissant l’adresse du serveur depuis un ordinateur sur réseau. Vous devez voir apparaître une page commençant par “Placeholder page”.

Voilà, Apache2 est configuré avec SSL, il ne reste plus qu’a continuer avec PHP, MySQL et le site de votre choix.

Pour information je joins ici la documentation complète d’installation de GEPI.

2 réflexions au sujet de « SSL pour Apache 2 sous Debian »

  1. Merci pour ce tuto!

    une petite coquille pour les newb ->
    SSLCertificateFile /etc/apache2/ssl/server2.crt
SSL
    CertificateKeyFile /etc/apache2/ssl/server2.key

    SSLCertificateFile /etc/apache2/ssl/server.crt

    SSLCertificateKeyFile /etc/apache2/ssl/server.key

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *