2.3. Ajouter le cryptage TLS à un serveur web NGINX
Cette section décrit comment activer le cryptage TLS sur un serveur web NGINX pour le domaine example.com
.
Conditions préalables
- NGINX est installé.
La clé privée est stockée dans le fichier
/etc/pki/tls/private/example.com.key
.Pour plus de détails sur la création d'une clé privée et d'une demande de signature de certificat (CSR), ainsi que sur la manière de demander un certificat à une autorité de certification (AC), consultez la documentation de votre AC.
-
Le certificat TLS est stocké dans le fichier
/etc/pki/tls/certs/example.com.crt
. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure. - Le certificat de l'autorité de certification a été ajouté au fichier de certificats TLS du serveur.
- Les clients et le serveur web transforment le nom d'hôte du serveur en adresse IP du serveur web.
-
Le port
443
est ouvert dans le pare-feu local.
Procédure
Modifiez le fichier
/etc/nginx/nginx.conf
et ajoutez le blocserver
suivant au blochttp
dans la configuration :server { listen 443 ssl; server_name example.com; root /usr/share/nginx/html; ssl_certificate /etc/pki/tls/certs/example.com.crt; ssl_certificate_key /etc/pki/tls/private/example.com.key; }
Pour des raisons de sécurité, configurez l'accès au fichier de la clé privée uniquement pour l'utilisateur
root
:# chown root:root /etc/pki/tls/private/example.com.key # chmod 600 /etc/pki/tls/private/example.com.key
AvertissementSi des utilisateurs non autorisés ont eu accès à la clé privée, révoquez le certificat, créez une nouvelle clé privée et demandez un nouveau certificat. Sinon, la connexion TLS n'est plus sécurisée.
Redémarrez le service
nginx
:# systemctl restart nginx
Verification steps
-
Utilisez un navigateur et connectez-vous à
https://example.com
Ressources supplémentaires