tom/lia_ssl
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

version cours

Browse Source
This commit is contained in:
Thomas Constans
2026-03-18 18:38:29 +01:00
parent 6a9bb2c915
commit dacec5f83c
1 changed files with 13 additions and 35 deletions
Download Patch File Download Diff File Expand all files Collapse all files
Readme.md
+13 -35
View File
@@ -1,50 +1,28 @@
# SSL
## LetsEncrypt
## Prérequis
⚠️ l'accès à l'api Let's Encrypt étant limité en nombre de requète, on se contentera de générer des certificats de test.
Rendre accessible le certificat et la clé de airline / formation
### Prérequis
## Présenter le principe de TLS
La configuration dns doit permettre de résoure le nom de notre serveur ( liaX.formation.opendoor.fr )
Ouvrir et commenter le fichier default-ssl.conf
### Installation du client
## Utiliser mozilla
Installer le paquet _certbot_ (depuis les dépôts EPEL).
Utiliser [https://ssl-config.mozilla.org/](https://ssl-config.mozilla.org/) pour générer une configuration _intermediate_ compatible avec notre version d'apache.
### Procéder à la demande de certificat
## Configuration
```bash
certbot certonly --test-cert --webroot --webroot-path /var/www/html -d lia1.formation.opendoor.fr
```
Incorporer la configuration générée dans la définition du vhost _formation_ .
### Vérifier
Ne pas oublier la redirection.
```bash
certbot certificates
...
ls -l /etc/letsencrypt/live/
```
## Validation
### Utiliser les certificats
Communiquer le n° de port associé au 443
Utiliser les directives apache SSLCertificateFile et SSLCertificateKeyFile
Ouvrir la version TLS du site.
### Vérifier
Afficher les détails de la page et du certificat
En allant sur https://liaX.formation.opendoor.fr/ on doit obtenir malgré tout un avertissement de sécurité.
Cependant en examinant le certificat, on constate qu'il provient de l'organisation _(STAGING) Let's Encrypt_
### Configurer le renouvellement automatique du certificat
Créer une tâche planifiée permettant d'éxécuter une fois par semaine la commande _certbot renew_ en root
Créer le script /etc/letsencrypt/renewal-hooks/post/apache.sh avec le contenu suivant:
```bash
#! /bin/bash
/bin/systemctl reload httpd
```
Le rendre exécutable. Il sera lancé à chanque renouvellement de certificat, permettant une prise en compte immédiate par apache du nouveau certificat.