Rechercher

20.7. Ajouter le cryptage TLS à un serveur HTTP Apache

download PDF

Cette section décrit comment activer le cryptage TLS sur le serveur HTTP Apache my_company.idm.example.com pour le domaine idm.example.com.

Conditions préalables

  • Le serveur Apache HTTP my_company.idm.example.com est installé et fonctionne.
  • Vous avez obtenu le certificat TLS de la sous-CA webserver-ca et l'avez stocké dans le fichier /etc/pki/tls/certs/httpd.pem comme décrit dans Obtaining an IdM certificate for a service using certmonger (Obtention d'un certificat IdM pour un service à l'aide de certmonger). Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
  • La clé privée correspondante est stockée dans le fichier /etc/pki/tls/private/httpd.key. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
  • Le certificat CA webserver-ca est stocké dans le fichier /etc/pki/tls/private/sub-ca.crt. Si vous utilisez un chemin différent, adaptez les étapes correspondantes de la procédure.
  • Les clients et le serveur web my_company.idm.example.com résolvent le nom d'hôte du serveur en adresse IP du serveur web.

Procédure

  1. Installez le paquetage mod_ssl:

    # dnf install mod_ssl
  2. Modifiez le fichier /etc/httpd/conf.d/ssl.conf et ajoutez les paramètres suivants à la directive <VirtualHost _default_:443>:

    1. Définir le nom du serveur :

      ServerName my_company.idm.example.com
      Important

      Le nom du serveur doit correspondre à l'entrée définie dans le champ Common Name du certificat.

    2. Facultatif : Si le certificat contient des noms d'hôtes supplémentaires dans le champ Subject Alt Names (SAN), vous pouvez configurer mod_ssl pour qu'il fournisse également un cryptage TLS pour ces noms d'hôtes. Pour ce faire, ajoutez le paramètre ServerAliases avec les noms correspondants :

      ServerAlias www.my_company.idm.example.com server.my_company.idm.example.com
    3. Définissez les chemins d'accès à la clé privée, au certificat du serveur et au certificat de l'autorité de certification :

      SSLCertificateKeyFile "/etc/pki/tls/private/httpd.key"
      SSLCertificateFile "/etc/pki/tls/certs/httpd.pem"
      SSLCACertificateFile "/etc/pki/tls/certs/ca.crt"
  3. Pour des raisons de sécurité, configurez l'accès au fichier de la clé privée uniquement pour l'utilisateur root:

    # chown root:root /etc/pki/tls/private/httpd.key
    # chmod 600 //etc/pki/tls/private/httpd.key
    Avertissement

    Si des utilisateurs non autorisés ont eu accès à la clé privée, révoquez le certificat, créez une nouvelle clé privée et demandez un nouveau certificat. Sinon, la connexion TLS n'est plus sécurisée.

  4. Si vous utilisez firewalld, ouvrez le port 443 dans le pare-feu local :

    # firewall-cmd --permanent --add-port=443/tcp
    # firewall-cmd --reload
  5. Redémarrez le service httpd:

    # systemctl restart httpd
    Note

    Si vous avez protégé le fichier de clé privée par un mot de passe, vous devez saisir ce mot de passe à chaque démarrage du service httpd.

    • Utilisez un navigateur et connectez-vous à https://my_company.idm.example.com.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.