Utiliser HTTPS avec Apache2

Ce tutoriel présente une procédure permettant de servir des pages web hôte virtuel grâce au protocole HTTPS. Avec HTTPS, les échanges HTTP entre le client et le serveur sont chiffrés (et donc sécurisés) via le protocole TLS (ou autrefois SSL).

Le protocole TLS

Le protocole TLS permet à deux machines de communiquer de manière sécurisée.
Il assure authentification du serveur, le chiffrement des données en transit et le contrôle de leur intégrité. Les informations échangées entre les deux machines sont de ce fait pratiquement inviolables.

Les Certificats

Un certificat permet de fournir diverses informations concernant l'identité de son détenteur (la personne qui publie les données). Ce certificat s'accompagne d'une clé publique qui est indispensable pour que la communication entre les machines soit chiffrée.

Afin de garantir l'authenticité du certificat, ce dernier est signé numériquement soit par une autorité de certification (Société spécialisée dans la certification) soit par le détenteur du certificat lui-même. Dans ce dernier cas, on parlera de certificat auto-signé.

Un certificat auto-signé n'est pas reconnu comme digne de confiance par les navigateurs web et générera un avertissement.

Les autorités de certification font payer leur service. CependantLet's encrypt permet maintenat d'obtenir des certificats gratuits. En outre Let's Encrypt fournit l'application cerbot qui simplifie grandement la création et la gestion des certificats.

Pour ce tutoriel, nous supposons que nous avons déjà mis en place un hôte virtuel basé sur le nom example.com, ce dernier étant accessible sur le port 80 à l'adresse http://example.com

Activation du module SSL/TLS

Pour que le protocole TLS puisse fonctionner avec le Serveur HTTP Apache2, il faut activer le module ssl avec la commande :

sudo a2enmod ssl

puis recharger la configuration d'Apache2 avec :

sudo systemctl reload apache2

Pour vérifier l'activation du module:

a2query -m ssl

Création du certificat avec Let's encrypt

Prérequis :

  • avoir un nom de domaine pleinement qualifié acheté auprès d'un bureau d’enregistrement (nous utiliserons example.com dans la suite) ;
  • avoir un enregistrement DNS mettant en correspondance le nom de domaine et l'adresse IP publique du serveur ;
  • avoir un serveur web apache déjà configuré, fonctionnel et accessible publiquement.

Installation de Certbot

Il suffit d'installer le paquet certbot :

sudo apt update
sudo apt install certbot
Il peut être nécessaire aussi d'installer1)
sudo apt install python3-certbot-apache

Générer le certificat avec Certbot

Certbot dispose de très nombreuses options qui sont documentées en anglais sur le site officiel.

Méthode n°1

Le script est très bien fait, ce qui implique qu'il est possible de simplement lancer, pour un serveur avec apache:

sudo certbot --apache

Le script se déroule et pose des questions, à commencer par les domaine à passer en https, puis si on veut rediriger http vers https…

Méthode n°2

Une autre méthode également simple pour générer un certificat en utilisant le greffon « webroot » est:

sudo certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

Cette commande va générer un certificat valable pour les domaines (option -d) example.com et www.example.com, qui correspondent à un site web existant et fonctionnel placé dans le dossier racine (option -w) var/www/example.

À l'issue de la commande précédente sera crée une arborescence sous /etc/letsencrypt qui contient vos certificats et des fichiers de configuration nécessaires aux procédures de renouvellement et de révocation. Seront crées également une tâche cron (/etc/cron.d./certbot) et un timer systemd (lib/systemd/system/certbot.timer) permettant de renouveler automatiquement les certificats avant qu'ils n'arrivent à échéance (les certificats Let'sEncrypt ne sont valables que 3 mois).

L’emplacement du certificat et de la clé privée est indiqué à la fin de la procédure, typiquement :

  • /etc/letsencrypt/live/example.com/privkey.pem pour la clé privée
  • /etc/letsencrypt/live/example.com/fullchain.pem pour le certificat complet.

Configuration de l'hôte virtuel pour HTTPS

Uniquement si vous avez utilisé la méthode n°2 pour obtenir le certificat. Avec la méthode n°1 les fichiers sont générés automatiquement

Ouvrez le fichier de configuration de votre hôte virtuel, par exemple /etc/apache2/sites-available/example.com.conf :

<VirtualHost *:80>
    ServerName example.com
    ServerAlias www.example.com
    ServerAdmin webmaster@example.com
    DocumentRoot /srv/web/example.com/www
	<Directory /srv/web/example.com/www>
		Options -Indexes +FollowSymLinks +MultiViews
		AllowOverride none
		Require all granted
	</Directory>
	ErrorLog /var/log/apache2/error.example.com.log
	CustomLog /var/log/apache2/access.example.com.log combined
</VirtualHost>

Et ajoutez à la suite l'hôte virtuel pour le port 443 (port standard pour le HTTPS) :

<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com
    ServerAdmin webmaster@example.com
    DocumentRoot /srv/web/example.com/www
	<Directory /srv/web/example.com/www>
		Options -Indexes +FollowSymLinks +MultiViews
		AllowOverride none
		Require all granted
	</Directory>
 
       # directives obligatoires pour TLS
      	SSLEngine on
	SSLCertificateFile    /etc/letsencrypt/live/example.com/fullchain.pem
	SSLCertificateKeyFile   /etc/letsencrypt/live/example.com/privkey.pem
 
	Header always set Strict-Transport-Security "max-age=15768000"
 
	ErrorLog /var/log/apache2/error.example.com.log
	CustomLog /var/log/apache2/access.example.com.log combined
</VirtualHost>

Enregistrez le fichier et rechargez la configuration d'Apache :

 sudo systemctl reload apache2

Votre site devrait maintenant être accessible en HTTP et en HTTPS.

Forcer la connexion en HTTPS

Si vous voulez que votre site ne soit accessible qu'en HTTPS et que les internautes soient redirigés automatiquement, modifiez ainsi votre fichier d'hôte virtuel :

<VirtualHost *:80>
    ServerName example.com
    ServerAlias www.example.com
    ServerAdmin webmaster@example.com
    # Redirection 301  vers le site en HTTPS
    Redirect permanent / https://example.com/
</VirtualHost>
 
<VirtualHost *:443>
    ServerName example.com
    ServerAlias www.example.com
    ServerAdmin webmaster@example.com
    DocumentRoot /srv/web/example.com/www
	<Directory /srv/web/example.com/www>
		Options -Indexes +FollowSymLinks +MultiViews
		AllowOverride none
		Require all granted
	</Directory>
 
       # directives obligatoires pour TLS
      	SSLEngine on
	SSLCertificateFile    /etc/letsencrypt/live/example.com/fullchain.pem
	SSLCertificateKeyFile   /etc/letsencrypt/live/example.com/privkey.pem
 
	Header always set Strict-Transport-Security "max-age=15768000"
 
	ErrorLog /var/log/apache2/error.example.com.log
	CustomLog /var/log/apache2/access.example.com.log combined
</VirtualHost>

Enregistrez le fichier et rechargez la configuration d'Apache :

 sudo systemctl reload apache2

Votre site devrait maintenant être accessible uniquement en HTTPS.

Renforcer la sécurité

Si vous voulez optimiser la sécurité des échanges en HTTPS, le plus simple est d'utiliser le générateur de configuration de Mozilla

bruno


  • tutoriel/securiser_apache2_avec_ssl.txt
  • Dernière modification: Le 13/11/2024, 16:09
  • par bcag2