Installation de certbot

Dans ce cas-ci, il sera installé sur le serveur Apache directement. Suivez d’abord les instructions d’installation selon votre système.

Sous Debian 9, faites directement ceci :

apt-get install certbot python-certbot-apache

Validation d’un seul domaine via let’s encrypt

Pour valider un seul domaine pour un certificat, il faut déjà avoir créé la configuration du site en HTTP. Certbot se chargera de demander le certificat à let’s encrypt et de créer une configuration de site identique en HTTPS, vous n’aurez rien à faire côté Apache. Vous aurez la possibilité de choisir de rediriger les utilisateurs depuis http vers https.

Exécutez ceci et suivez les instructions :

certbot --apache

Pour prendre en compte la modification, rechargez Apache :

service apache2 reload

Par la suite, un renouvellement de certificat pourra se faire via :

certbot renew

Un certificat let’s encrypt n’est valide que 3 mois. Il faut donc le renouveler tous les 3 mois. Heureusement un cron permet de le faire automatiquement, vérifiez que celui-ci est bien présent /etc/cron.d/certbot :

# /etc/cron.d/certbot: crontab entries for the certbot package
#
# Upstream recommends attempting renewal twice a day
#
# Eventually, this will be an opportunity to validate certificates
# haven't been revoked, etc.  Renewal will only occur if expiration
# is within 30 days.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew

Validation d’un certificat multi-domaine

Afin de valider un certificat multi-domaine, il faut spécifier ces domaines via des arguments de certbot. Bien évidemment pour le renouvellement il n’y aura rien de spécial à faire, cela suit la même procédure qu’un domaine seul.

Il faut exécuter manuellement:

certbot-auto --apache -d domaineprincipal.tld -d www.domaineprincipal.tld -d ...

Le premier domaine sera utilisé comme domaine principal, tous les autres seront utilisés comme domaines secondaires, appelé « SAN Certificates« . Cela signifie « Subject Alternative Name ».

Notre certificat multi-domaine a été installé directement dans la configuration Apache par Certbot, il suffit d’un reload de la configuration Apache.

L’article Créer un certificat multi-domaine let’s encrypt avec Apache est apparu en premier sur Mon linux.

Vous aurez le même problème avec un certificat signé utilisé pour un autre FQDN.

Voici le type d’erreur rencontré :

git clone https://devel.domain.tld/git
Cloning into 'git'...
error: SSL: certificate subject name (git.domain.tld) does not match target host name 'devel.domain.tld' while accessing https://devel.domain.tld/git/info/refs

Pour pouvoir obtenir le projet en local, il faut passer par une variable d’environnement et faire ceci :

env GIT_SSL_NO_VERIFY=true git clone https://devel.domain.tld/git/projet

Cloning into 'projet'...
Username for 'https://devel.domain.tld': belgotux
Password for 'https://belgotux@devel.domain.tld':
remote: Counting objects: 10304, done.
remote: Compressing objects: 100% (4953/4953), done.
remote: Total 10304 (delta 5801), reused 4769 (delta 3309)
Receiving objects: 100% (10304/10304), 35.07 MiB | 7.18 MiB/s, done.
Resolving deltas: 100% (5801/5801), done.

Une fois le projet présent, on navigue dans le dossier pour définir de manière permanente l’option de non vérification de certificat SSL valide :

cd projet
git config --global http.sslverify false

On peut désormais utiliser git avec les commandes classiques.

L’article git – problème SSL certificate subject name does not match est apparu en premier sur Mon linux.

Générer certificat

openssl genrsa -out /etc/apache2/apache.key
openssl req -new -x509 -days 3650 -key /etc/apache2/apache.key -out /etc/apache2/apache.cert

Attention : mettre le nom de la machine / nom de domaine pour « Common Name »
On peut utiliser un wildcard (joker) du type *.example.com
Il est possible d’associer plusieurs noms alternatifs à un certificat en utilisant subjectAltName

Editer l’écoute apache

vim /etc/apache2/ports.conf : NameVirtualHost *:443

 Utiliser un certificat dans la config virtualhost

    SSLEngine on
    SSLCertificateFile /chemin/vers/www.example.com.cert
    SSLCertificateKeyFile /chemin/vers/www.example.com.key

Obtenir le certificat d’un site

openssl s_client -showcerts -connect imap.googlemail.com:993 </dev/null

Décrypter un certificat avec la clé privée protégée par un mot de passe.

openssl rsa -in ssl.key -out ssl.key

Certificat signé par un CA valide

Il est possible d’avoir un certificat SSL émis par une CA (certificate authority) reconnue des navigateurs. J’y ai consacré un article à propos de startssl qui propose un certificat SSL d’un an gratuitement.

L’article Notes sur la création de certificats SSL autosignés est apparu en premier sur Mon linux.

Mais chaque nouvel utilisateur reçoit un message d’avertissement de sécurité et ce n’est pas professionnel.

Cela peut être dangereux. En effet, n’importe qui se plaçant entre le nouvel utilisateur et le serveur peut faire une attaque MITM et générer un certificat auto-signé pour se faire passer pour le serveur distant. Le nouvel utilisateur n’y verra que du feu s’il ne vérifie pas l’emprunte du certificat.

Il faut donc penser à utiliser un certificat signé par une autorité valide (CA). La plupart sont payantes mais il en existe des gratuits.

Je travaille avec StartSSL, qui permet d’avoir un certificat de niveau 1 gratuitement. Il faut penser à le renouveler tous les ans.

Attention qu’après avoir créé le certificat, il faut attendre 48h avant de le mettre en place sur votre serveur Apache.

En effet, le certificat n’est pas directement reconnu par les navigateurs comme firefox, chrome etc. Ces navigateurs utilisent une base de données. Si vous n’attendez pas ce délai, vous risquez d’avoir un message d’erreur jusqu’au moment où votre certificat aura été transmis à tous les serveurs de base de données des navigateurs.

Après avoir mis VOS informations personnels et pas celle de votre société, vous recevez un mail avec un code de validation du type :

Il est à recopier pour poursuivre VOTRE identification pour VOTRE certificat personnel. Ce n’est pas encore ici qu’on parle de votre certificat de site.

A cette étape, votre certificat personnel qui vous identifie VOUS, sera installé sur votre navigateur. On vous averti bien de le sauvegarder ailleurs!

Il faut aller dans les paramètres > options avancées > Certificats > afficher les certificats. Vous sélectionnez votre certificat et vous exporter/sauvegarder.

Sauvegardez le avec une extension .p12

Étape 2 – authentifier le domaine

Il faut vérifier que l’on est bien le détenteur du domaine avec une confirmation par mail sur l’adresse portmaster@test.tld par exemple.

Ensuite on pourra créer des certificats pour les sous-domaines, comme par exemple www.test.tld.

On utilise un mot de passe pour l’exportation de la clé. Le certificat généré demandera un mot de passe pour son utilisation.

Il faudra utiliser openssl pour retirer ce mot de passe pour mettre le certificat dans Apache, sinon vous devrez rentrer le mot de pase à chaque redémarrage d’Apache

openssl rsa -in ssl_passwd.key -out ssl.key

Étape 3 – création du certificat du site

Il ne reste qu’à créer le certificat proprement dit, on choisi le sous domaine concerné. Cela peut être www.test.tld et implicitement test.tld.

Le certificat est créé, il n’y a plus qu’à mettre le certificat et la clé privée sur le serveur Apache.

Rappel pour les options à utiliser pour un certificat dans la configuration virtualhost :

SSLEngine on
SSLCertificateFile /chemin/vers/www.example.com.cert
SSLCertificateKeyFile /chemin/vers/www.example.com.key

L’article Obtenir un certificat SSL valide gratuitement est apparu en premier sur Mon linux.