Ubuntu server 16.04 sous apache
https sous apaches avec Let's Encrypt
Je commence par installer "git" sur /opt/
sudo -s apt-get install git git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt --depth=1
→ "sudo -s" Je ne sais pas combien de sudo je vais devoir taper, sans doute plus de trois, alors "sudo -s"
→ "--depth=1" Je ne souhaite pas récupérer tout l'historique du site.
Générer les certificats
/opt/letsencrypt/letsencrypt-auto --apache -d domaine.fr -d www.domaine.fr
Si vous avez plusieurs domaines, sinon vous pouvez faire simplement:
/opt/letsencrypt/letsencrypt-auto
Configurer le VirtualHost pour l'accès https
Allez dans /etc/apache2/sites-available et modifier les VirtualHost
cd /etc/apache2/sites-available nano votredomaineSSL.fr
La configuration que j'ai mise
<VirtualHost *:443>
...
SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/domaine.fr /fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domaine.fr /privkey.pem
...
</VirtualHost>
Configurer le VirtualHost http pour une redirection https
cd /etc/apache2/sites-available nano votredomaine.fr
La configuration que j'ai mise
<VirtualHost *:80>
...
RewriteEngine on
RewriteRule ^ https://www.chispa.fr%{REQUEST_URI} [L,QSA,R=permanent]
...
</VirtualHost>
Renouvellement du certificat
ATTENTION, le certificat n'est valable que 90 jours. On peut le renouveler avec la commande:
/opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d domaine.fr -d www.domaine.fr
Le mieux est de rendre automatique le renouvellement, heureusement Erika Heidi a créer un script pour nous, il s'agit de le-renew.sh
Je l'ai récupéré, rendu exécutable et mis dans la crontab
curl -L -o /usr/local/sbin/le-renew http://do.co/le-renew chmod +x /usr/local/sbin/le-renew crontab -e 0 6 * * 1 /usr/local/sbin/le-renew domaine.fr >> /var/log/le-renew.log
Chaque lundi à 6:00, la validité du certificat en question sera vérifié, s'il est toujours valable, au cas contraire il demandera le renouvellement.
Bon, normalement en bon "copiteur" vous aurez un A, et si en plus vous améliorez, je ne vous en parle même pas! Un A+ ou A++.
5 réactions
1 De Bruno - 05/01/2017, 08:27
Bonjour,
Forcer la connexion en https avec une règle de réécriture n'est pas optimal. Il est préférable d'utilser tout simplement une rediction permanente :
Redirect permanent / https://example.com
Sinon pour utiliser facilement Let's Encrypt en fonction de sa distribution et de son serveur web : https://certbot.eff.org/
Et pour générer facilement une configuration TLS la plus sécurisée possible : https://mozilla.github.io/server-si...
2 De SohKa - 05/01/2017, 16:10
@Bruno : Sympa le dernier lien que tu as donné. Merci, je connaissais pas !
3 De Sima78 - 05/01/2017, 19:44
@Bruno : En effet, je vais plutôt faire une redirection qu'une réécriture. SohKa connaissait un des liens, moi, je n'en connaissais aucun des deux. Merci ! Ces 2 liens m'auraient facilité la vie.
4 De grmp - 21/06/2017, 14:01
Hello, si tu veux tester plus en profondeur ton https :
https://tls.imirhil.fr/
Il retrace tout les protocoles utilisé via ton HTTPs, qui te permettra de le securisé au mieux.
Ps : Désactive vite le DES3 dans tes suites cipher !!
5 De sima78 - 27/06/2017, 21:11
Merci Grmp, je vais voir tout ça au plus tôt.