Configurer Apache avec un certificat TLS / SSL auto-signé sur Ubuntu 16.04

• Attention
• Étape 1: génération du certificat
• Étape 2: configuration du pare-feu
• Étape 3: configuration de l'hôte virtuel Apache
• Étape 4: activation du module SSL Apache
• Étape 5: rediriger tout le trafic HTTP vers HTTPS (facultatif)

SSL et son successeur TLS (Secure Sockets Layer / Transport Layer Security) ajoutent une couche de chiffrement entre le client et le serveur. Sans cette technologie, les données sont envoyées au serveur en texte brut, permettant à des tiers de lire toutes les informations envoyées et reçues par votre serveur.

Ce tutoriel vous apprendra comment créer un certificat SSL / TLS et l'activer sur Apache 2.4 sur Ubuntu 16.04. Je suppose qu'Apache est déjà configuré et fonctionne. Si vous souhaitez apprendre à installer une pile LAMP, consultez ce doc Vultr .

Attention

Les certificats SSL / TLS sont normalement générés par une autorité de certification de confiance (autorité de certification). En le générant vous-même, vous serez le signataire, ce qui signifie que le navigateur ne pourra pas vérifier si l'identité du certificat doit être approuvée et avertira l'utilisateur. Bien qu'il soit possible de contourner cette alerte, les sites accessibles au public doivent utiliser un certificat signé par une autorité de certification de confiance. Let's encrypt est une autorité de certification qui offre des certificats gratuitement. Vous pouvez apprendre comment installer leur certificat dans Apache et Ubuntu 16.04 ici .

Pour les applications internes, l'utilisation d'un certificat auto-signé peut être valide, surtout si vous n'avez pas de nom de domaine.

Étape 1: génération du certificat

1. Commençons par créer un emplacement pour stocker le fichier.

   mkdir ~/certificates
   cd ~/certificates
   

2. Générez la CSR et la clé privée.

   openssl req -x509 -newkey rsa:4096 -keyout apache.key -out apache.crt -days 365 -nodes
   

   Il vous demandera des informations pour la demande de certificat. Complétez avec les informations appropriées.

   Country Name (2 letter code) [AU]: US
   State or Province Name (full name) [Some-State]: FL
   Locality Name (eg, city) []: Miami
   Organization Name (eg, company) [My Company]: My Company
   Organizational Unit Name (eg, section) []:
   

   Le nom commun doit être votre nom de domaine ou l'adresse IP du serveur. Remplissez également votre e-mail.

   Common Name (e.g. server FQDN or YOUR name) []: 203.0.113.122
   Email Address []:webmaster@example.com
   

3. Maintenant, déplacez le certificat vers le dossier de configuration Apache.

   mkdir /etc/apache2/ssl
   mv ~/certificates/* /etc/apache2/ssl/.
   

4. Le certificat est prêt! Ensuite, nous préparerons Apache à travailler avec le certificat.

Étape 2: configuration du pare-feu

1. Nous devons nous assurer que le port TCP 443 est ouvert. Ce port est utilisé dans les connexions SSL au lieu du port 80. Dans ce tutoriel, nous utiliserons UFW.

2. Assurez-vous que UFW est activé.

   sudo ufw enable
   

3. Autorisez maintenant les paramètres Apache prédéfinis pour le pare-feu.

   sudo ufw allow 'Apache Full'
   

4. En tapant " sudo ufw status", vous pouvez voir une liste des règles actuelles. Votre configuration devrait ressembler à ceci:

   To                         Action      From
   --                         ------      ----
   Apache Full                ALLOW       Anywhere
   OpenSSH                    ALLOW       Anywhere
   Apache Full (v6)           ALLOW       Anywhere (v6)
   OpenSSH (v6)               ALLOW       Anywhere (v6)
   

5. Vous devez également autoriser OpenSSH ici pour les futures connexions.

   sudo ufw allow 'OpenSSH'
   

Étape 3: configuration de l'hôte virtuel Apache

1. Accédez au répertoire de configuration du site Apache par défaut.

   sudo nano /etc/apache2/sites-available/default-ssl.conf
   

2. Ce fichier indique au serveur où chercher le certificat SSL. Une fois les commentaires supprimés, il devrait ressembler à la configuration suivante.

   <IfModule mod_ssl.c>
     <VirtualHost _default_:443>
      ServerAdmin webmaster@localhost
   
      DocumentRoot /var/www/html
   
      ErrorLog ${APACHE_LOG_DIR}/error.log
      CustomLog ${APACHE_LOG_DIR}/access.log combined
   
      SSLEngine on
   
      SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
      SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
   
      <FilesMatch "\.(cgi|shtml|phtml|php)$">
       SSLOptions +StdEnvVars
      </FilesMatch>
      <Directory /usr/lib/cgi-bin>
       SSLOptions +StdEnvVars
      </Directory>
   
    </VirtualHost>
   </IfModule>
   

3. Modifiez cette ligne:

   ServerAdmin email@example.net
   

4. Ajoutez ceci juste en dessous de la ServerAdminligne:

   ServerName ADD_YOUR_IP_OR_DOMAIN_NAME_HERE
   

5. Maintenant, modifiez ces lignes avec notre emplacement de certificat:

   SSLCertificateFile    /etc/apache2/ssl/apache.crt
   SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   

6. Notre fichier final devrait ressembler à ceci:

   <IfModule mod_ssl.c>
    <VirtualHost _default_:443>
     ServerAdmin email@example.net
     ServerName 203.0.113.122
   
     DocumentRoot /var/www/html
   
     ErrorLog ${APACHE_LOG_DIR}/error.log
     CustomLog ${APACHE_LOG_DIR}/access.log combined
   
     SSLEngine on
   
     SSLCertificateFile    /etc/apache2/ssl/apache.crt
     SSLCertificateKeyFile /etc/apache2/ssl/apache.key
   
     <FilesMatch "\.(cgi|shtml|phtml|php)$">
      SSLOptions +StdEnvVars
     </FilesMatch>
     <Directory /usr/lib/cgi-bin>
      SSLOptions +StdEnvVars
     </Directory>
   
    </VirtualHost>
   </IfModule>
   

7. Enregistrez et fermez le fichier.

Étape 4: activation du module SSL Apache

1. Activez le module SSL en tapant:

   sudo a2enmod ssl
   

2. Activez maintenant le site que nous venons d'éditer:

   sudo a2ensite default-ssl.conf
   

3. Redémarrez Apache:

   sudo service apache2 restart
   

4. Accédons au nouveau site Web sécurisé! Ouvrez-le dans votre navigateur (assurez-vous de taper https: // ).

   https://YOUR_SERVER_IP
   

Votre navigateur vous avertira que le certificat n'est pas valide, comme prévu. Cela se produit car le certificat n'est pas signé. Suivez les étapes proposées par votre navigateur pour accéder à votre site.

Étape 5: rediriger tout le trafic HTTP vers HTTPS (facultatif)

1. Ouvrez le fichier hôte virtuel par défaut Apache:

   nano /etc/apache2/sites-available/000-default.conf
   

2. Ajoutez cette ligne à l'intérieur du <VirtualHost *:80>tag:

   Redirect / https://YOUR_SERVER_IP_OR_DOMAIN/
   

3. Recharger la configuration Apache:

   sudo service apache2 reload
   

Tout le trafic du site Web sera désormais redirigé automatiquement vers HTTPS.