Installer un certificat SSL sur Apache

Ce tutoriel explique comment générer une requête CSR (Certificate Signing Request) à l'aide d'OpenSSL et installer un certificat SSL sur un serveur Apache.

Comment générer une CSR sur Apache (OpenSSL)

Ouvrez OpenSSL : /usr/local/ssl/bin et suivez les étapes suivantes.

Dans la première étape, générez la paire de clés (key pair). Utilisez la commande suivante :

openssl genrsa –des3 –out www.mydomain.com.key 2048

Si vous souhaitez sécuriser votre clé privée, utilisez le paramètre -des3. Dans le cas contraire, votre clé privée sera non protégée.

Dans la deuxième étape, générez la CSR. Soit, utilisez la ligne de commande suivante, ou générez la CSR dans votre espace client de SSLmarket.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Message d'erreur : Impossible de charger les informations de configuration depuis /usr/local/ssl/openssl.cnf - entrez la commande set OPENSSL_CONF=C:/.../openssl.cnf et définissez l'emplacement du fichier.

Entrez les informations relatives à votre organisation dans le Certificate Signing Request (CSR). Ces informations seront utilisées par l’Autorité de certification et présentes dans le certificat.

Common Name : entrez le FQDN complet (Fully Qualifed Domain Name)
Company / Organization : indiquez le nom complet de la société tel qu'inscrit au Registre du commerce.
Organizational Unit : ce champ est facultatif et indique l'unité organisationnelle
Locality / City : indiquez la ville
State / Province : indiquez le pays
Country Name : indiquez le code du pays

Entrez les informations demandées

CN: www.sslmarket.fr
OU: SSL market
O: ZONER
ST: Île-de-France
C: FR
L: Paris

Dans la requête CSR, ne remplissez pas des informations complémentaires comme adresse email, mot de passe ou optional company name. OpenSSL génère le fichier avec l'extension .csr. Insérez-le dans la commande du certificat.

Installer un certificat TLS sur le serveur

Avant l'installation

Si vous installez le certificat sur le serveur, où la configuration d'Apache n'a pas encore été modifiée, activez d'abord HTTPS pour une connexion TLS. Cette étape est nécessaire pour le bon fonctionnement de https.

Activez les modules : sudo a2enmod ssl Ceci active HTTPS.
Ensuite, pour une connexion sécurisée, activez le virtualhost SSL par défaut. Sinon Apache utilisera par défaut le site avec HTTP : sudo a2ensite default-ssl Procédez au redémarrage d'Apache pour que le serveur commence à utiliser HTTP et HTTPS. systemctl restart apache2

Stockage du certificat et l'intermédiaire

Le certificat émis est envoyé au destinataire par email, sous forme de texte codé au format Base64. Sauvegardez le fichier linux_cert+ca.pem ou enregistrez une copie du fichier sur le serveur.

Le fichier linux_cert+ca.pem contient le certificat pour le domaine et le certificat intermédiaire. Nous avons regroupé les deux certificats en un seul fichier pour vous aider (les serveurs web les demandent ensemble). Le certificat intermédiaire est nécessaire, il établit la confiance en votre certificat SSL en le liant au certificat racine de l'autorité de certification.

Pour configurer Apache, utilisez le fichier linux_cert+ca.pem qui contient le certificat pour le domaine et le certificat intermédiaire. Inutile d'utiliser les directives SSLCertificateChainFile ou SSLCACertificateFile.

Configuration du bloc VirtualHost

Ouvrez et modifiez le bloc VirtualHost. Trouvez /etc/apache2/sites-enabled. Ouvrez le fichier default-ssl.conf (ou domaine-ssl.conf). Voici les deux lignes que vous devez ajouter (modifiez l'emplacement de la clé privée et du certificat) :

SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
SSLCertificateKeyFile /etc/ssl/private/private.key

Les versions précédentes d'Apache prenaient en charge la directive SSLCertificateChainFile (n'est plus utiliséé depuis la version 2.4.8) ; vous pouvez l'effacer ou cacher. Le certificat intermédiaire se trouve dans le fichier avec le certificat. La directiveSSLCACertificateFile est utilisée pour les certificats clients, donc ignorez-la pour un certificat TLS.

Enregistrez le fichier. Avant de redémarrer, vous pouvez tester la configuration avec la commande : sudo apache2ctl configtest Redémarrez Apache.


sudo systemctl restart apache2

Exemple de configuration du serveur

Les configurations activées et utilisées sont stockées dans le dossier /etc2/apache2/sites-enabled. Voici un exemple typique de configuration de serveur dans le fichier default-ssl.conf. SSLEngine on SSLCertificateFile /etc/ssl/private/domaine.pem SSLCertificateKeyFile /etc/ssl/private/domaine.key

Vous pouvez utilisez la configuration du serveur Web qui est disponible ici : moz://a SSL Configuration Generator. Le configurateur vous recommandera les paramètres corrects pour la sécurité du serveur Web.

Contrôle d'installation

N'oubliez pas la dernière étape et vérifiez l'installation du certificat. Analysez le niveau de sécurité du serveur et assurez-vous que le certificat SSL est correctement installé. Utilisez notre vérificateur d'installation.

Besoin d'aide ?

Envoyez-nous un message
info@sslmarket.fr
Question rapide

Appelez-nous
+33 979 998 723

Cet article vous a-t-il été utile ?

Aide

Application SSLmarket