Ubuntu server 16.04 sous apache
https sous apaches avec Let's Encrypt
Je commence par installer "git" sur /opt/sudo -s→ "sudo -s" Je ne sais pas combien de sudo je vais devoir taper, sans doute plus de trois, alors "sudo -s"
apt-get install git
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt --depth=1
→ "--depth=1" Je ne souhaite pas récupérer tout l'historique du site.
Générer les certificats
/opt/letsencrypt/letsencrypt-auto --apache -d domaine.fr -d www.domaine.frSi vous avez plusieurs domaines, sinon vous pouvez faire simplement:
/opt/letsencrypt/letsencrypt-auto
Configurer le VirtualHost pour l'accès https
Allez dans /etc/apache2/sites-available et modifier les VirtualHostcd /etc/apache2/sites-availableLa configuration que j'ai mise
nano votredomaineSSL.fr
<VirtualHost *:443>
...
SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/domaine.fr /fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domaine.fr /privkey.pem
...
</VirtualHost>
Configurer le VirtualHost http pour une redirection https
cd /etc/apache2/sites-availableLa configuration que j'ai mise
nano votredomaine.fr
<VirtualHost *:80>
...
RewriteEngine on
RewriteRule ^ https://www.chispa.fr%{REQUEST_URI} [L,QSA,R=permanent]
...
</VirtualHost>
Renouvellement du certificat
ATTENTION, le certificat n'est valable que 90 jours. On peut le renouveler avec la commande:/opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d domaine.fr -d www.domaine.frLe mieux est de rendre automatique le renouvellement, heureusement Erika Heidi a créer un script pour nous, il s'agit de le-renew.sh
Je l'ai récupéré, rendu exécutable et mis dans la crontab
curl -L -o /usr/local/sbin/le-renew http://do.co/le-renewChaque lundi à 6:00, la validité du certificat en question sera vérifié, s'il est toujours valable, au cas contraire il demandera le renouvellement.
chmod +x /usr/local/sbin/le-renew
crontab -e
0 6 * * 1 /usr/local/sbin/le-renew domaine.fr >> /var/log/le-renew.log
Bon, normalement en bon "copiteur" vous aurez un A, et si en plus vous améliorez, je ne vous en parle même pas! Un A+ ou A++.
5 réactions
1 De Bruno - 05/01/2017, 08:27
Bonjour,
Forcer la connexion en https avec une règle de réécriture n'est pas optimal. Il est préférable d'utilser tout simplement une rediction permanente :
Redirect permanent / https://example.com
Sinon pour utiliser facilement Let's Encrypt en fonction de sa distribution et de son serveur web : https://certbot.eff.org/
Et pour générer facilement une configuration TLS la plus sécurisée possible : https://mozilla.github.io/server-si...
2 De SohKa - 05/01/2017, 16:10
@Bruno : Sympa le dernier lien que tu as donné. Merci, je connaissais pas !
3 De Sima78 - 05/01/2017, 19:44
@Bruno : En effet, je vais plutôt faire une redirection qu'une réécriture. SohKa connaissait un des liens, moi, je n'en connaissais aucun des deux. Merci ! Ces 2 liens m'auraient facilité la vie.
4 De grmp - 21/06/2017, 14:01
Hello, si tu veux tester plus en profondeur ton https :
https://tls.imirhil.fr/
Il retrace tout les protocoles utilisé via ton HTTPs, qui te permettra de le securisé au mieux.
Ps : Désactive vite le DES3 dans tes suites cipher !!
5 De sima78 - 27/06/2017, 21:11
Merci Grmp, je vais voir tout ça au plus tôt.