Compare commits
1 Commits
| Author | SHA1 | Date | |
|---|---|---|---|
 tom
|
dacec5f83c |
@@ -1,50 +1,28 @@
|
||||
# SSL
|
||||
|
||||
## LetsEncrypt
|
||||
## Prérequis
|
||||
|
||||
⚠️ l'accès à l'api Let's Encrypt étant limité en nombre de requète, on se contentera de générer des certificats de test.
|
||||
Rendre accessible le certificat et la clé de airline / formation
|
||||
|
||||
### Prérequis
|
||||
## Présenter le principe de TLS
|
||||
|
||||
La configuration dns doit permettre de résoure le nom de notre serveur ( liaX.formation.opendoor.fr )
|
||||
Ouvrir et commenter le fichier default-ssl.conf
|
||||
|
||||
### Installation du client
|
||||
## Utiliser mozilla
|
||||
|
||||
Installer le paquet _certbot_ (depuis les dépôts EPEL).
|
||||
Utiliser [https://ssl-config.mozilla.org/](https://ssl-config.mozilla.org/) pour générer une configuration _intermediate_ compatible avec notre version d'apache.
|
||||
|
||||
### Procéder à la demande de certificat
|
||||
## Configuration
|
||||
|
||||
```bash
|
||||
certbot certonly --test-cert --webroot --webroot-path /var/www/html -d lia1.formation.opendoor.fr
|
||||
```
|
||||
Incorporer la configuration générée dans la définition du vhost _formation_ .
|
||||
|
||||
### Vérifier
|
||||
Ne pas oublier la redirection.
|
||||
|
||||
```bash
|
||||
certbot certificates
|
||||
...
|
||||
ls -l /etc/letsencrypt/live/
|
||||
```
|
||||
## Validation
|
||||
|
||||
### Utiliser les certificats
|
||||
Communiquer le n° de port associé au 443
|
||||
|
||||
Utiliser les directives apache SSLCertificateFile et SSLCertificateKeyFile
|
||||
Ouvrir la version TLS du site.
|
||||
|
||||
### Vérifier
|
||||
Afficher les détails de la page et du certificat
|
||||
|
||||
En allant sur https://liaX.formation.opendoor.fr/ on doit obtenir malgré tout un avertissement de sécurité.
|
||||
|
||||
Cependant en examinant le certificat, on constate qu'il provient de l'organisation _(STAGING) Let's Encrypt_
|
||||
|
||||
|
||||
### Configurer le renouvellement automatique du certificat
|
||||
|
||||
Créer une tâche planifiée permettant d'éxécuter une fois par semaine la commande _certbot renew_ en root
|
||||
|
||||
Créer le script /etc/letsencrypt/renewal-hooks/post/apache.sh avec le contenu suivant:
|
||||
```bash
|
||||
#! /bin/bash
|
||||
/bin/systemctl reload httpd
|
||||
```
|
||||
|
||||
Le rendre exécutable. Il sera lancé à chanque renouvellement de certificat, permettant une prise en compte immédiate par apache du nouveau certificat.
|
||||
|
||||
Reference in New Issue
Block a user