7fb4c0766e858653c9776474005a6ae6d94828afgryzor<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
fd9abdda70912b99b24e3bf1a38f26fde908a74cnd<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
fd9abdda70912b99b24e3bf1a38f26fde908a74cnd<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
7fb4c0766e858653c9776474005a6ae6d94828afgryzor XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7fb4c0766e858653c9776474005a6ae6d94828afgryzor This file is generated from xml source: DO NOT EDIT
7fb4c0766e858653c9776474005a6ae6d94828afgryzor XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
96ad5d81ee4a2cc66a4ae19893efc8aa6d06fae7jailletc<title>Chiffrement fort SSL/TLS : Mode d'emploi - Serveur Apache HTTP Version 2.5</title>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
d29d9ab4614ff992b0e8de6e2b88d52b6f1f153erbowen<link href="/style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="/style/css/prettify.css" />
2e545ce2450a9953665f701bb05350f0d3f26275nd<script src="/style/scripts/prettify.min.js" type="text/javascript">
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<link href="/images/favicon.ico" rel="shortcut icon" /></head>
af33a4994ae2ff15bc67d19ff1a7feb906745bf8rbowen<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<div class="up"><a href="./"><img title="<-" alt="<-" src="/images/left.gif" /></a></div>
3f08db06526d6901aa08c110b5bc7dde6bc39905nd<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.5</a> > <a href="./">SSL/TLS</a></div><div id="page-content"><div id="preamble"><h1>Chiffrement fort SSL/TLS : Mode d'emploi</h1>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<p><span>Langues Disponibles: </span><a href="/en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English"> en </a> |
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung<a href="/fr/ssl/ssl_howto.html" title="Fran�ais"> fr </a></p>
4a56677aad9b66a36f3dc9fddbca8dc1230ad471rbowen<div class="outofdate">Cette traduction peut �tre p�rim�e. V�rifiez la version
4a56677aad9b66a36f3dc9fddbca8dc1230ad471rbowen anglaise pour les changements r�cents.</div>
f9442c8a9869d3525a1ae6ed3e85c65d408e8a70sf<p>Ce document doit vous permettre de d�marrer et de faire fonctionner
f9442c8a9869d3525a1ae6ed3e85c65d408e8a70sfune configuration de base. Avant de vous lancer dans l'application de
f9442c8a9869d3525a1ae6ed3e85c65d408e8a70sftechniques avanc�es, il est fortement recommand� de lire le reste
f9442c8a9869d3525a1ae6ed3e85c65d408e8a70sfde la documentation SSL afin d'en comprendre le fonctionnement de
f9442c8a9869d3525a1ae6ed3e85c65d408e8a70sfmani�re plus approfondie.</p>
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalic<div id="quickview"><ul id="toc"><li><img alt="" src="/images/down.gif" /> <a href="#configexample">Exemple de configuration basique</a></li>
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalic<li><img alt="" src="/images/down.gif" /> <a href="#ciphersuites">Suites de chiffrement et mise en application de la s�curit�
f08e09b4d274b5328095e53b5d12717697b988aflgentis<li><img alt="" src="/images/down.gif" /> <a href="#ocspstapling">Agrafage OCSP</a></li>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><img alt="" src="/images/down.gif" /> <a href="#accesscontrol">Authentification du client et contr�le d'acc�s</a></li>
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim<li><img alt="" src="/images/down.gif" /> <a href="#logging">Journalisation</a></li>
30471a4650391f57975f60bbb6e4a90be7b284bfhumbedooh</ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalic<h2><a name="configexample" id="configexample">Exemple de configuration basique</a></h2>
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalic<p>Votre configuration SSL doit comporter au moins les directives
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalicsuivantes :</p>
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh<VirtualHost *:443>
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLEngine on
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLCertificateKeyFile /path/to/www.example.com.key
4aa603e6448b99f9371397d439795c91a93637eand</VirtualHost></pre>
70f5253b24dd333c67fb6502d557a8b48ad3ba87igalic</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h2><a name="ciphersuites" id="ciphersuites">Suites de chiffrement et mise en application de la s�curit�
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><a href="#onlystrong">Comment cr�er un serveur SSL
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><a href="#strongurl">Comment cr�er un serveur qui accepte tous les types de
7fb4c0766e858653c9776474005a6ae6d94828afgryzorchiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h3><a name="onlystrong" id="onlystrong">Comment cr�er un serveur SSL qui n'accepte
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>Les directives suivantes ne permettent que les
7fb4c0766e858653c9776474005a6ae6d94828afgryzor chiffrements de plus haut niveau :</p>
20f499565e77defe9dab24dd85c02f38a1175855nd <pre class="prettyprint lang-config">SSLCipherSuite HIGH:!aNULL:!MD5</pre>
9534272616b71aaea50aeec4162e749a96aebd7fsf <p>Avec la configuration qui suit, vous indiquez une pr�f�rence pour
9534272616b71aaea50aeec4162e749a96aebd7fsf des algorityhmes de chiffrement sp�cifiques optimis�s en mati�re de
9534272616b71aaea50aeec4162e749a96aebd7fsf rapidit� (le choix final sera op�r� par mod_ssl, dans la mesure ou le
9534272616b71aaea50aeec4162e749a96aebd7fsf client les supporte) :</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config">SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
4aa603e6448b99f9371397d439795c91a93637eandSSLHonorCipherOrder on</pre>
7c7a1710c24e67d3e4bfcbb73fd2048c0b780186lgentis<h3><a name="strongurl" id="strongurl">Comment cr�er un serveur qui accepte tous les types de
7fb4c0766e858653c9776474005a6ae6d94828afgryzorchiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>Dans ce cas bien �videmment, une directive <code class="directive"><a href="/mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code> au niveau du serveur principal
7fb4c0766e858653c9776474005a6ae6d94828afgryzor qui restreint le choix des suites de chiffrement aux versions les plus
7fb4c0766e858653c9776474005a6ae6d94828afgryzor fortes ne conviendra pas. <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut cependant �tre
7fb4c0766e858653c9776474005a6ae6d94828afgryzor reconfigur� au sein de blocs <code>Location</code> qui permettent
7fb4c0766e858653c9776474005a6ae6d94828afgryzor d'adapter la configuration g�n�rale � un r�pertoire sp�cifique ;
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut alors forcer automatiquement une
7fb4c0766e858653c9776474005a6ae6d94828afgryzor ren�gociation des param�tres SSL pour parvenir au but recherch�.
7fb4c0766e858653c9776474005a6ae6d94828afgryzor Cette configuration peut se pr�senter comme suit :</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config"># soyons tr�s tol�rant a priori
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh# sauf pour https://hostname/strong/area/ et ses sous-r�pertoires
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh# qui exigent des chiffrements forts
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLCipherSuite HIGH:!aNULL:!MD5
4aa603e6448b99f9371397d439795c91a93637eand</Location></pre>
f08e09b4d274b5328095e53b5d12717697b988aflgentis</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<h2><a name="ocspstapling" id="ocspstapling">Agrafage OCSP</a></h2>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Le protocole de contr�le du statut des certificats en ligne (Online
f08e09b4d274b5328095e53b5d12717697b988aflgentisCertificate Status Protocol - OCSP) est un m�canisme permettant de
f08e09b4d274b5328095e53b5d12717697b988aflgentisd�terminer si un certificat a �t� r�voqu� ou non, et l'agrafage OCSP en
f08e09b4d274b5328095e53b5d12717697b988aflgentisest une fonctionnalit� particuli�re par laquelle le serveur, par exemple
f08e09b4d274b5328095e53b5d12717697b988aflgentishttpd et mod_ssl, maintient une liste des r�ponses OCSP actuelles pour
f08e09b4d274b5328095e53b5d12717697b988aflgentisses certificats et l'envoie aux clients qui communiquent avec lui. La
f08e09b4d274b5328095e53b5d12717697b988aflgentisplupart des certificats contiennent l'adresse d'un r�pondeur OCSP maintenu
f08e09b4d274b5328095e53b5d12717697b988aflgentispar l'Autorit� de Certification (CA) sp�cifi�e, et mod_ssl peut requ�rir
f08e09b4d274b5328095e53b5d12717697b988aflgentisce r�pondeur pour obtenir une r�ponse sign�e qui peut �tre envoy�e aux
f08e09b4d274b5328095e53b5d12717697b988aflgentisclients qui communiquent avec le serveur.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>L'agrafage OCSP est la m�thode la plus performante pour obtenir le
f08e09b4d274b5328095e53b5d12717697b988aflgentisstatut d'un certificat car il est disponible au niveau du serveur, et le
f08e09b4d274b5328095e53b5d12717697b988aflgentisclient n'a donc pas besoin d'ouvrir une nouvelle connexion vers
f08e09b4d274b5328095e53b5d12717697b988aflgentisl'autorit� de certification. Autres avantages de l'absence de
f08e09b4d274b5328095e53b5d12717697b988aflgentiscommunication entre le client et l'autorit� de certification :
f08e09b4d274b5328095e53b5d12717697b988aflgentisl'autorit� de certification n'a pas acc�s � l'historique de navigation
f08e09b4d274b5328095e53b5d12717697b988aflgentisdu client, et l'obtention du statut du certificat est plus efficace car
f08e09b4d274b5328095e53b5d12717697b988aflgentiselle n'est plus assujettie � une surcharge �ventuelle des serveurs de
f08e09b4d274b5328095e53b5d12717697b988aflgentisl'autorit� de certification.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>La charge du serveur est moindre car la r�ponse qu'il a obtenu du
f08e09b4d274b5328095e53b5d12717697b988aflgentisr�pondeur OCSP peut �tre r�utilis�e par tous les clients qui utilisent
f08e09b4d274b5328095e53b5d12717697b988aflgentisle m�me certificat dans la limite du temps de validit� de la r�ponse.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Une fois le support g�n�ral SSL correctement configur�, l'activation
f08e09b4d274b5328095e53b5d12717697b988aflgentisde l'agrafage OCSP ne requiert que des modifications mineures
f08e09b4d274b5328095e53b5d12717697b988aflgentis� la configuration de httpd et il suffit en g�n�ral de l'ajout de ces
f08e09b4d274b5328095e53b5d12717697b988aflgentisdeux directives :</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis <pre class="prettyprint lang-config">SSLUseStapling On
f08e09b4d274b5328095e53b5d12717697b988aflgentisSSLStaplingCache "shmcb:ssl_stapling(32768)"</pre>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Ces directives sont plac�es de fa�on � ce qu'elles aient une port�e
f08e09b4d274b5328095e53b5d12717697b988aflgentisglobale (et particuli�rement en dehors de toute section VirtualHost), le
f08e09b4d274b5328095e53b5d12717697b988aflgentisplus souvent o� sont plac�es les autres directives de configuration
f08e09b4d274b5328095e53b5d12717697b988aflgentisglobales SSL, comme <code>conf/extra/httpd-ssl.conf</code> pour les
f08e09b4d274b5328095e53b5d12717697b988aflgentisinstallations de httpd � partir des sources, ou
f08e09b4d274b5328095e53b5d12717697b988aflgentis<code>/etc/apache2/mods-enabled/ssl.conf</code> pour Ubuntu ou Debian,
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<p>Cette directive <code class="directive">SSLStaplingCache</code> particuli�re
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisn�cessite le chargement du module <code class="module"><a href="/mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code> (�
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentiscause du pr�fixe <code>shmcb</code> de son argument). Ce module est en
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisg�n�ral d�j� activ� pour la directive
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<code class="directive">SSLSessionCache</code>, ou pour des modules autres que
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code>. Si vous activez un cache de session SSL
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisutilisant un m�canisme autre que <code class="module"><a href="/mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code>,
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisutilisez aussi ce m�canisme alternatif pour la directive
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<code class="directive">SSLStaplingCache</code>. Par exemple :</p>
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis <pre class="prettyprint lang-config">SSLSessionCache "dbm:ssl_scache"
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisSSLStaplingCache "dbm:ssl_stapling"</pre>
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<p>Vous pouvez utiliser la commande openssl pour v�rifier que votre
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisserveur envoie bien une r�ponse OCSP :</p>
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis<pre>$ openssl s_client -connect www.example.com:443 -status -servername www.example.com
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisOCSP response:
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis======================================
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentisOCSP Response Data:
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis OCSP Response Status: successful (0x0)
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis Response Type: Basic OCSP Response
0a741d4b236bad0e02bd26a1ad36932b254aed24lgentis Cert Status: Good
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Les sections suivantes explicitent les situations courantes qui
f08e09b4d274b5328095e53b5d12717697b988aflgentisrequi�rent des modifications suppl�mentaires de la configuration. Vous
f08e09b4d274b5328095e53b5d12717697b988aflgentispouvez aussi vous r�f�rer au manuel de r�f�rence de
f08e09b4d274b5328095e53b5d12717697b988aflgentis<code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code>.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<h3>Si l'on utilise plus que quelques certificats SSL pour le serveur</h3>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Les r�ponses OCSP sont stock�es dans le cache d'agrafage SSL. Alors
f08e09b4d274b5328095e53b5d12717697b988aflgentisque les r�ponses ont une taille de quelques centaines � quelques
f08e09b4d274b5328095e53b5d12717697b988aflgentismilliers d'octets, mod_ssl supporte des r�ponses d'une taille jusqu'�
f08e09b4d274b5328095e53b5d12717697b988aflgentisenviron 10 ko. Dans notre cas, le nombre de certificats est cons�quent
f08e09b4d274b5328095e53b5d12717697b988aflgentiset la taille du cache (32768 octets dans l'exemple ci-dessus) doit �tre
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentisaugment�e. En cas d'erreur lors du stockage d'une r�ponse, le
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentismessage AH01929 sera enregistr� dans le journal.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<h3>Si le certificat ne sp�cifie pas de r�pondeur OCSP, ou si une
f08e09b4d274b5328095e53b5d12717697b988aflgentisadresse diff�rente doit �tre utilis�e</h3>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Veuillez vous r�f�rer � la documentation de la directive <code class="directive"><a href="/mod/mod_ssl.html#sslstaplingforceurl">SSLStaplingForceURL</a></code>.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Vous pouvez v�rifier si un certificat sp�cifie un r�pondeur OCSP en
f08e09b4d274b5328095e53b5d12717697b988aflgentisutilisant la commande openssl comme suit :</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<pre>$ openssl x509 -in /www.example.com.crt -text | grep 'OCSP.*http'
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Si un URI OCSP est fourni et si le serveur web peut communiquer
f08e09b4d274b5328095e53b5d12717697b988aflgentisdirectement avec lui sans passer par un mandataire, aucune modification
f08e09b4d274b5328095e53b5d12717697b988aflgentissuppl�mentaire de la configuration n'est requise. Notez que les r�gles
f08e09b4d274b5328095e53b5d12717697b988aflgentisdu pare-feu qui contr�lent les connexions sortantes en provenance du
f08e09b4d274b5328095e53b5d12717697b988aflgentisserveur web devront peut-�tre subir quelques ajustements.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Si aucun URI OCSP n'est fourni, contactez votre autorit� de
f08e09b4d274b5328095e53b5d12717697b988aflgentiscertification pour savoir s'il en existe une ; si c'est le
f08e09b4d274b5328095e53b5d12717697b988aflgentiscas, utilisez la directive <code class="directive"><a href="/mod/mod_ssl.html#sslstaplingforceurl">SSLStaplingForceURL</a></code> pour la sp�cifier dans
f08e09b4d274b5328095e53b5d12717697b988aflgentisla configuration du serveur virtuel qui utilise le certificat.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<h3>Si plusieurs serveurs virtuels sont configur�s pour utiliser SSL
f08e09b4d274b5328095e53b5d12717697b988aflgentiset si l'agrafage OCSP doit �tre d�sactiv� pour certains d'entre eux</h3>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>Ajoutez la directive <code>SSLUseStapling Off</code> � la
f08e09b4d274b5328095e53b5d12717697b988aflgentisconfiguration des serveurs virtuels pour lesquels l'agrafage OCSP doit
f08e09b4d274b5328095e53b5d12717697b988aflgentis�tre d�sactiv�.</p>
f08e09b4d274b5328095e53b5d12717697b988aflgentis<p>De nombreuses directives permettent de g�rer les temps de r�ponse et
f08e09b4d274b5328095e53b5d12717697b988aflgentisles erreurs. R�f�rez-vous � la documentation de <code class="directive"><a href="/mod/mod_ssl.html#sslstaplingfaketrylater">SSLStaplingFakeTryLater</a></code>, <code class="directive"><a href="/mod/mod_ssl.html#sslstaplingrespondertimeout">SSLStaplingResponderTimeout</a></code>, et <code class="directive"><a href="/mod/mod_ssl.html#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></code>.</p>
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentis<h3>Si mod_ssl enregistre l'erreur AH02217 dans le journal</h3>
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentis<pre>AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!</pre>
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentis<p>Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentisserveur particulier est utilis�, une cha�ne de certification pour ce
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentiscertificat doit �tre sp�cifi�e. Si cela n'a pas �t� fait lors de
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentisl'activation de SSL, l'erreur AH02217 sera enregistr�e lorsque
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentisl'agrafage OCSP sera activ�, et les clients qui utilisent le certificat
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentisconsid�r� ne recevront pas de r�ponse OCSP.</p>
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentis<p>Veuillez vous r�f�rer � la documentation des directives <code class="directive"><a href="/mod/mod_ssl.html#sslcertificatechainfile">SSLCertificateChainFile</a></code> et <code class="directive"><a href="/mod/mod_ssl.html#sslcertificatefile">SSLCertificateFile</a></code> pour sp�cifier une
d0e8e89565ad7750879da3df4fb7c082b88a90aclgentischa�ne de certification.</p>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h2><a name="accesscontrol" id="accesscontrol">Authentification du client et contr�le d'acc�s</a></h2>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><a href="#arbitraryclients">Comment forcer les clients
7fb4c0766e858653c9776474005a6ae6d94828afgryzor� s'authentifier � l'aide de certificats pour une URL particuli�re,
7fb4c0766e858653c9776474005a6ae6d94828afgryzormais autoriser quand-m�me tout client anonyme
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><a href="#certauthenticate">Comment n'autoriser l'acc�s � une URL
7fb4c0766e858653c9776474005a6ae6d94828afgryzorparticuli�re qu'aux clients qui poss�dent des certificats, mais autoriser
7fb4c0766e858653c9776474005a6ae6d94828afgryzorl'acc�s au reste du serveur � tous les clients ?</a></li>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<li><a href="#intranet">Comment imposer HTTPS avec chiffrements forts,
7fb4c0766e858653c9776474005a6ae6d94828afgryzoret soit authentification de base, soit possession de certificats clients,
7fb4c0766e858653c9776474005a6ae6d94828afgryzorpour l'acc�s � une partie de l'Intranet, pour les clients en
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h3><a name="allclients" id="allclients">Comment forcer les clients
7fb4c0766e858653c9776474005a6ae6d94828afgryzor� s'authentifier � l'aide de certificats ?
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>Lorsque vous connaissez tous vos clients (comme c'est en g�n�ral le cas
7fb4c0766e858653c9776474005a6ae6d94828afgryzor au sein d'un intranet d'entreprise), vous pouvez imposer une
7fb4c0766e858653c9776474005a6ae6d94828afgryzor authentification bas�e uniquement sur les certificats. Tout ce dont vous
7fb4c0766e858653c9776474005a6ae6d94828afgryzor avez besoin pour y parvenir est de cr�er des certificats clients sign�s par
7fb4c0766e858653c9776474005a6ae6d94828afgryzor le certificat de votre propre autorit� de certification
7fb4c0766e858653c9776474005a6ae6d94828afgryzor (<code>ca.crt</code>), et d'authentifier les clients � l'aide de ces
7fb4c0766e858653c9776474005a6ae6d94828afgryzor certificats.</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config"># exige un certificat client sign� par le certificat de votre CA
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh# contenu dans ca.crt
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLVerifyClient require
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLVerifyDepth 1
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h3><a name="arbitraryclients" id="arbitraryclients">Comment forcer les clients
7fb4c0766e858653c9776474005a6ae6d94828afgryzor� s'authentifier � l'aide de certificats pour une URL particuli�re,
7fb4c0766e858653c9776474005a6ae6d94828afgryzormais autoriser quand-m�me tout client anonyme
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<p>Pour forcer les clients � s'authentifier � l'aide de certificats pour une
7fb4c0766e858653c9776474005a6ae6d94828afgryzorURL particuli�re, vous pouvez utiliser les fonctionnalit�s de reconfiguration
7fb4c0766e858653c9776474005a6ae6d94828afgryzorde <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> en fonction du r�pertoire :</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config">SSLVerifyClient none
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLVerifyClient require
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedoohSSLVerifyDepth 1
4aa603e6448b99f9371397d439795c91a93637eand</Location></pre>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h3><a name="certauthenticate" id="certauthenticate">Comment n'autoriser l'acc�s � une URL
7fb4c0766e858653c9776474005a6ae6d94828afgryzorparticuli�re qu'aux clients qui poss�dent des certificats, mais autoriser
7fb4c0766e858653c9776474005a6ae6d94828afgryzorl'acc�s au reste du serveur � tous les clients ?</a></h3>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>La cl� du probl�me consiste � v�rifier si une partie du certificat
7fb4c0766e858653c9776474005a6ae6d94828afgryzor client correspond � ce que vous attendez. Cela signifie en g�n�ral
7fb4c0766e858653c9776474005a6ae6d94828afgryzor consulter tout ou partie du nom distinctif (DN), afin de v�rifier s'il
7fb4c0766e858653c9776474005a6ae6d94828afgryzor contient une cha�ne connue. Il existe deux m�thodes pour y parvenir ;
7fb4c0766e858653c9776474005a6ae6d94828afgryzor on utilise soit le module <code class="module"><a href="/mod/mod_auth_basic.html">mod_auth_basic</a></code>, soit la
7fb4c0766e858653c9776474005a6ae6d94828afgryzor directive <code class="directive"><a href="/mod/mod_ssl.html#sslrequire">SSLRequire</a></code>.</p>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>La m�thode du module <code class="module"><a href="/mod/mod_auth_basic.html">mod_auth_basic</a></code> est en g�n�ral
7fb4c0766e858653c9776474005a6ae6d94828afgryzor incontournable lorsque les certificats ont un contenu arbitraire, ou
7fb4c0766e858653c9776474005a6ae6d94828afgryzor lorsque leur DN ne contient aucun champ connu
7fb4c0766e858653c9776474005a6ae6d94828afgryzor (comme l'organisation, etc...). Dans ce cas, vous devez construire une base
7fb4c0766e858653c9776474005a6ae6d94828afgryzor de donn�es de mots de passe contenant <em>tous</em> les clients
7fb4c0766e858653c9776474005a6ae6d94828afgryzor autoris�s, comme suit :</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config">SSLVerifyClient none
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<Directory /usr/local/apache2/htdocs/secure/area>
7fb4c0766e858653c9776474005a6ae6d94828afgryzorSSLVerifyClient require
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLVerifyDepth 5
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLOptions +FakeBasicAuth
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLRequireSSL
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthName "Snake Oil Authentication"
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthType Basic
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthBasicProvider file
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh Require valid-user
4aa603e6448b99f9371397d439795c91a93637eand</Directory></pre>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>Le mot de passe utilis� dans cet exemple correspond � la cha�ne de
7fb4c0766e858653c9776474005a6ae6d94828afgryzor caract�res "password" chiffr�e en DES. Voir la documentation de la
7fb4c0766e858653c9776474005a6ae6d94828afgryzor directive <code class="directive"><a href="/mod/mod_ssl.html#ssloptions">SSLOptions</a></code> pour
7fb4c0766e858653c9776474005a6ae6d94828afgryzor plus de d�tails.</p>
4aa603e6448b99f9371397d439795c91a93637eand <div class="example"><h3>httpd.passwd</h3><pre>/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
7fb4c0766e858653c9776474005a6ae6d94828afgryzor/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
7fb4c0766e858653c9776474005a6ae6d94828afgryzor/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA</pre></div>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>Lorsque vos clients font tous partie d'une m�me hi�rarchie, ce qui
7fb4c0766e858653c9776474005a6ae6d94828afgryzor appara�t dans le DN, vous pouvez les authentifier plus facilement en
7fb4c0766e858653c9776474005a6ae6d94828afgryzor utilisant la directive <code class="directive"><a href="/mod/mod_ssl.html#sslrequire">SSLRequire</a></code>, comme suit :</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config">SSLVerifyClient none
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<Directory /usr/local/apache2/htdocs/secure/area>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor SSLVerifyClient require
7fb4c0766e858653c9776474005a6ae6d94828afgryzor SSLVerifyDepth 5
7fb4c0766e858653c9776474005a6ae6d94828afgryzor SSLOptions +FakeBasicAuth
7fb4c0766e858653c9776474005a6ae6d94828afgryzor SSLRequireSSL
7fb4c0766e858653c9776474005a6ae6d94828afgryzor SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
7fb4c0766e858653c9776474005a6ae6d94828afgryzor and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
4aa603e6448b99f9371397d439795c91a93637eand</Directory></pre>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<h3><a name="intranet" id="intranet">Comment imposer HTTPS avec chiffrements forts,
7fb4c0766e858653c9776474005a6ae6d94828afgryzoret soit authentification de base, soit possession de certificats clients,
7fb4c0766e858653c9776474005a6ae6d94828afgryzorpour l'acc�s � une partie de l'Intranet, pour les clients en
7fb4c0766e858653c9776474005a6ae6d94828afgryzorprovenance de l'Internet ? Je souhaite quand-m�me autoriser l'acc�s en HTTP
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <p>On suppose dans ces exemples que les clients de l'intranet ont des
7fb4c0766e858653c9776474005a6ae6d94828afgryzor adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
7fb4c0766e858653c9776474005a6ae6d94828afgryzor � laquelle vous voulez autoriser l'acc�s depuis l'Internet est
7fb4c0766e858653c9776474005a6ae6d94828afgryzor <code>/usr/local/apache2/htdocs/subarea</code>. Ces lignes de configuration
7fb4c0766e858653c9776474005a6ae6d94828afgryzor doivent se trouver en dehors de votre h�te virtuel HTTPS, afin qu'elles
7fb4c0766e858653c9776474005a6ae6d94828afgryzor s'appliquent � la fois � HTTP et HTTPS.</p>
4aa603e6448b99f9371397d439795c91a93637eand <pre class="prettyprint lang-config">SSLCACertificateFile conf/ssl.crt/company-ca.crt
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh# En dehors de subarea, seul l'acc�s depuis l'intranet est
7fb4c0766e858653c9776474005a6ae6d94828afgryzor</Directory>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor# Dans subarea, tout acc�s depuis l'intranet est autoris�
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh# mais depuis l'Internet, seul l'acc�s par HTTPS + chiffrement fort + Mot de passe
7fb4c0766e858653c9776474005a6ae6d94828afgryzor# ou HTTPS + chiffrement fort + certificat client n'est autoris�.
7fb4c0766e858653c9776474005a6ae6d94828afgryzor# Si HTTPS est utilis�, on s'assure que le niveau de chiffrement est fort.
7fb4c0766e858653c9776474005a6ae6d94828afgryzor# Autorise en plus les certificats clients comme une alternative �
7fb4c0766e858653c9776474005a6ae6d94828afgryzor# l'authentification basique.
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLVerifyClient optional
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLVerifyDepth 1
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLOptions +FakeBasicAuth +StrictRequire
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh # ON oblige les clients venant d'Internet � utiliser HTTPS
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh RewriteEngine on
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh RewriteCond %{HTTPS} !=on
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh RewriteRule . - [F]
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh # On permet l'acc�s soit sur les crit�res r�seaux, soit par authentification Basique
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh # Contr�le d'acc�s r�seau
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh # Configuration de l'authentification HTTP Basique
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthType basic
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthName "Protected Intranet Area"
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh AuthBasicProvider file
888cb40bdeec5abf452bd85d6bf63b26d5913d4chumbedooh Require valid-user
4aa603e6448b99f9371397d439795c91a93637eand</Directory></pre>
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim</div><div class="top"><a href="#page-header"><img alt="top" src="/images/up.gif" /></a></div>
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim<h2><a name="logging" id="logging">Journalisation</a></h2>
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim <p><code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut enregistrer des informations de
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim d�bogage tr�s verbeuses dans le journal des erreurs, lorsque sa
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim directive <code class="directive"><a href="/mod/core.html#loglevel">LogLevel</a></code> est d�finie
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim � des niveaux de trace �lev�s. Par contre, sur un serveur tr�s
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim sollicit�, le niveau <code>info</code> sera probablement d�j� trop
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim �lev�. Souvenez-vous que vous pouvez configurer la directive
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim <code class="directive"><a href="/mod/core.html#loglevel">LogLevel</a></code> par module afin de
b03f9485e6dfcf9326e6122f91eaa1ced8939818jim pourvoir � vos besoins.</p>
7fb4c0766e858653c9776474005a6ae6d94828afgryzor<p><span>Langues Disponibles: </span><a href="/en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English"> en </a> |
f086b4b402fa9a2fefc7dda85de2a3cc1cd0a654rjung<a href="/fr/ssl/ssl_howto.html" title="Fran�ais"> fr </a></p>
727872d18412fc021f03969b8641810d8896820bhumbedooh</div><div class="top"><a href="#page-header"><img src="/images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
727872d18412fc021f03969b8641810d8896820bhumbedoohvar comments_shortname = 'httpd';
cc7e1025de9ac63bd4db6fe7f71c158b2cf09fe4humbedoohvar comments_identifier = 'http://httpd.apache.org/docs/trunk/ssl/ssl_howto.html';
0d0ba3a410038e179b695446bb149cce6264e0abnd(function(w, d) {
cc7e1025de9ac63bd4db6fe7f71c158b2cf09fe4humbedooh if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
727872d18412fc021f03969b8641810d8896820bhumbedooh d.write('<div id="comments_thread"><\/div>');
0d0ba3a410038e179b695446bb149cce6264e0abnd var s = d.createElement('script');
ac082aefa89416cbdc9a1836eaf3bed9698201c8humbedooh s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
0d0ba3a410038e179b695446bb149cce6264e0abnd (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
727872d18412fc021f03969b8641810d8896820bhumbedooh d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
0d0ba3a410038e179b695446bb149cce6264e0abnd})(window, document);
205f749042ed530040a4f0080dbcb47ceae8a374rjung<p class="apache">Copyright 2015 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
af33a4994ae2ff15bc67d19ff1a7feb906745bf8rbowen<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
0d0ba3a410038e179b695446bb149cce6264e0abndif (typeof(prettyPrint) !== 'undefined') {
7fec19672a491661b2fe4b29f685bc7f4efa64d4nd prettyPrint();