ssl_howto.html.fr revision b03f9485e6dfcf9326e6122f91eaa1ced8939818
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-->
<link href="/style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="/style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<body id="manual-page"><div id="page-header">
<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="/faq/">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.3</p>
<div id="path">
<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.3</a> > <a href="./">SSL/TLS</a></div><div id="page-content"><div id="preamble"><h1>Chiffrement fort SSL/TLS : Mode d'emploi</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="/en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English"> en </a> |
</div>
<blockquote>
<p>La solution � ce probl�me est �vidente et le lecteur la recherchera
� titre d'exercice</p>
<p class="cite">-- <cite>Phrase standard des manuels</cite></p>
</blockquote>
<p>R�soudre des probl�mes de s�curit� particuliers pour un serveur web
utilisant SSL n'est pas toujours �vident � cause des interactions entre SSL,
HTTP et la mani�re dont Apache traite les requ�tes. Ce chapitre donne des
instructions pour r�soudre certaines situations typiques. Consid�rez-le
comme une premi�re �tape sur le chemin de la solution d�finitive, mais
efforcez-vous toujours de comprendre ce que vous faites pour r�soudre le
probl�me avant d'utiliser la solution. Rien n'est pire que d'utiliser une
solution de s�curit� sans conna�tre ses restrictions et la mani�re dont elle
interagit avec les autres syst�mes.</p>
</div>
<div id="quickview"><ul id="toc"><li><img alt="" src="/images/down.gif" /> <a href="#ciphersuites">Suites de chiffrement et mise en application de la s�curit�
de haut niveau</a></li>
<li><img alt="" src="/images/down.gif" /> <a href="#accesscontrol">Authentification du client et contr�le d'acc�s</a></li>
</ul></div>
<div class="section">
<h2><a name="ciphersuites" id="ciphersuites">Suites de chiffrement et mise en application de la s�curit�
de haut niveau</a></h2>
<ul>
<li><a href="#realssl">Comment cr�er un v�ritable serveur
SSLv2 seulement ?</a></li>
<li><a href="#onlystrong">Comment cr�er un serveur SSL
qui n'accepte que le chiffrement fort ?</a></li>
<li><a href="#upgradeenc">Comment cr�er un serveur SSL qui n'accepte que le
chiffrement fort, mais permet aux navigateurs import�s des USA
d'�voluer vers un chiffrement plus fort ?</a></li>
<li><a href="#strongurl">Comment cr�er un serveur qui accepte tous les types de
chiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
acc�der � une URL particuli�re ?</a></li>
</ul>
<h3><a name="realssl" id="realssl">Comment cr�er un v�ritable serveur SSLv2 seulement ?</a></h3>
<p>Les directives suivantes cr�ent un serveur SSL qui ne communique que
selon le protocole SSLv2 et ses modes de chiffrement.</p>
SSLProtocol -all +SSLv2<br />
SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP<br />
</code></p></div>
<h3><a name="onlystrong" id="onlystrong">Comment cr�er un serveur SSL qui n'accepte
que le chiffrement fort ?</a></h3>
<p>Les directives suivantes ne permettent que les
chiffrements de plus haut niveau :</p>
SSLProtocol all<br />
SSLCipherSuite HIGH:MEDIUM<br />
</code></p></div>
<h3><a name="upgradeenc" id="upgradeenc">Comment cr�er un serveur SSL qui n'accepte que le
chiffrement fort, mais permet aux navigateurs import�s des USA
d'�voluer vers un chiffrement plus fort ?</a></h3>
<p>Cette fonctionnalit� se nomme Cryptographie Transf�r�e par Serveur
(Server Gated Cryptography - SGC) et n�cessite un certificat de serveur
� identifiant global, sign� par un certificat de CA sp�cial de chez
Verisign. Ceci permet d'activer le chiffrement fort dans les versions des
navigateurs import�s des US, qui n'en avaient habituellement pas la
possibilit� (� cause des restrictions � l'exportation impos�es par les
US).</p>
<p>Quand un navigateur se connecte avec un mode de chiffrement import�
des US, le serveur pr�sente son certificat � identifiant global. le
navigateur le v�rifie, et peut ensuite faire �voluer sa suite de
chiffrement avant que la communication HTTP ne se mette en place. Le
probl�me consiste � permettre au navigateur de se mettre � jour de cette
fa�on, mais de n�cessiter encore un chiffrement fort. En d'autres termes,
nous voulons que les navigateurs d�marrent une connexion soit avec
chiffrement fort, soit avec une version export du chiffrement mais que
dans ce dernier cas, le navigateur fasse �voluer sa suite de chiffrement
vers un chiffrement fort avant de d�marrer la communication HTTP.</p>
<p>Il est possible de parvenir � ceci de cette fa�on:</p>
# autorise tout mode de chiffrement pour l'�change de donn�es
initial,<br />
# les navigateurs non US peuvent ainsi se mettre � jour
via la fonctionnalit� SGC<br />
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL<br />
<br />
# et enfin interdit l'acc�s � tous les navigateurs qui n'ont pas fait
�voluer leur suite de chiffrement<br />
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128<br />
</Directory>
</code></p></div>
<h3><a name="strongurl" id="strongurl">Comment cr�er un serveur qui accepte tous les types de
chiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
acc�der � une URL particuli�re ?</a></h3>
<p>Dans ce cas bien �videmment, une directive <code class="directive"><a href="/mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code> au niveau du serveur principal
qui restreint le choix des suites de chiffrement aux versions les plus
fortes ne conviendra pas. <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut cependant �tre
reconfigur� au sein de blocs <code>Location</code> qui permettent
d'adapter la configuration g�n�rale � un r�pertoire sp�cifique ;
<code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut alors forcer automatiquement une
ren�gociation des param�tres SSL pour parvenir au but recherch�.
Cette configuration peut se pr�senter comme suit :</p>
<div class="example"><p><code>
# soyons tr�s tol�rant a priori<br />
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL<br />
<br />
# sauf pour https://hostname/strong/area/ et ses sous-r�pertoires<br />
# qui exigent des chiffrements forts<br />
SSLCipherSuite HIGH:MEDIUM<br />
</Location>
</code></p></div>
<div class="section">
<h2><a name="accesscontrol" id="accesscontrol">Authentification du client et contr�le d'acc�s</a></h2>
<ul>
<li><a href="#allclients">Comment forcer les clients
� s'authentifier � l'aide de certificats ?</a></li>
<li><a href="#arbitraryclients">Comment forcer les clients
� s'authentifier � l'aide de certificats pour une URL particuli�re,
mais autoriser quand-m�me tout client anonyme
� acc�der au reste du serveur ?</a></li>
<li><a href="#certauthenticate">Comment n'autoriser l'acc�s � une URL
particuli�re qu'aux clients qui poss�dent des certificats, mais autoriser
l'acc�s au reste du serveur � tous les clients ?</a></li>
<li><a href="#intranet">Comment imposer HTTPS avec chiffrements forts,
et soit authentification de base, soit possession de certificats clients,
pour l'acc�s � une partie de l'Intranet, pour les clients en
provenance de l'Internet ?</a></li>
</ul>
<h3><a name="allclients" id="allclients">Comment forcer les clients
� s'authentifier � l'aide de certificats ?
</a></h3>
<p>Lorsque vous connaissez tous vos clients (comme c'est en g�n�ral le cas
au sein d'un intranet d'entreprise), vous pouvez imposer une
authentification bas�e uniquement sur les certificats. Tout ce dont vous
avez besoin pour y parvenir est de cr�er des certificats clients sign�s par
le certificat de votre propre autorit� de certification
certificats.</p>
# exige un certificat client sign� par le certificat de votre CA<br />
# contenu dans ca.crt<br />
SSLVerifyClient require<br />
SSLVerifyDepth 1<br />
</code></p></div>
<h3><a name="arbitraryclients" id="arbitraryclients">Comment forcer les clients
� s'authentifier � l'aide de certificats pour une URL particuli�re,
mais autoriser quand-m�me tout client anonyme
� acc�der au reste du serveur ?</a></h3>
<p>Pour forcer les clients � s'authentifier � l'aide de certificats pour une
URL particuli�re, vous pouvez utiliser les fonctionnalit�s de reconfiguration
de <code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> en fonction du r�pertoire :</p>
SSLVerifyClient none<br />
<br />
SSLVerifyClient require<br />
SSLVerifyDepth 1<br />
</Location><br />
</code></p></div>
<h3><a name="certauthenticate" id="certauthenticate">Comment n'autoriser l'acc�s � une URL
particuli�re qu'aux clients qui poss�dent des certificats, mais autoriser
l'acc�s au reste du serveur � tous les clients ?</a></h3>
<p>La cl� du probl�me consiste � v�rifier si une partie du certificat
client correspond � ce que vous attendez. Cela signifie en g�n�ral
consulter tout ou partie du nom distinctif (DN), afin de v�rifier s'il
contient une cha�ne connue. Il existe deux m�thodes pour y parvenir ;
on utilise soit le module <code class="module"><a href="/mod/mod_auth_basic.html">mod_auth_basic</a></code>, soit la
<p>La m�thode du module <code class="module"><a href="/mod/mod_auth_basic.html">mod_auth_basic</a></code> est en g�n�ral
incontournable lorsque les certificats ont un contenu arbitraire, ou
lorsque leur DN ne contient aucun champ connu
(comme l'organisation, etc...). Dans ce cas, vous devez construire une base
de donn�es de mots de passe contenant <em>tous</em> les clients
autoris�s, comme suit :</p>
SSLVerifyClient none
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Snake Oil Authentication"
AuthType Basic
AuthBasicProvider file
Require valid-user
</Directory></pre></div>
<p>Le mot de passe utilis� dans cet exemple correspond � la cha�ne de
caract�res "password" chiffr�e en DES. Voir la documentation de la
plus de d�tails.</p>
<p>Lorsque vos clients font tous partie d'une m�me hi�rarchie, ce qui
appara�t dans le DN, vous pouvez les authentifier plus facilement en
utilisant la directive <code class="directive"><a href="/mod/mod_ssl.html#sslrequire">SSLRequire</a></code>, comme suit :</p>
SSLVerifyClient none
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
</Directory></pre></div>
<h3><a name="intranet" id="intranet">Comment imposer HTTPS avec chiffrements forts,
et soit authentification de base, soit possession de certificats clients,
pour l'acc�s � une partie de l'Intranet, pour les clients en
provenance de l'Internet ? Je souhaite quand-m�me autoriser l'acc�s en HTTP
aux clients de l'intranet.</a></h3>
<p>On suppose dans ces exemples que les clients de l'intranet ont des
adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
� laquelle vous voulez autoriser l'acc�s depuis l'Internet est
doivent se trouver en dehors de votre h�te virtuel HTTPS, afin qu'elles
s'appliquent � la fois � HTTP et HTTPS.</p>
# En dehors de subarea, seul l'acc�s depuis l'intranet est autoris�
Order deny,allow
Deny from all
Allow from 192.168.1.0/24
</Directory>
# Dans subarea, tout acc�s depuis l'intranet est autoris�
# mais depuis l'Internet, seul l'acc�s par HTTPS + chiffrement fort
+ Mot de passe
# ou HTTPS + chiffrement fort + certificat client n'est autoris�.
# Si HTTPS est utilis�, on s'assure que le niveau de chiffrement est fort.
# Autorise en plus les certificats clients comme une alternative �
# l'authentification basique.
SSLVerifyClient optional
SSLVerifyDepth 1
SSLOptions +FakeBasicAuth +StrictRequire
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
# ON oblige les clients venant d'Internet � utiliser HTTPS
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$
RewriteCond %{HTTPS} !=on
RewriteRule .* - [F]
# On permet l'acc�s soit sur les crit�res r�seaux, soit par authentification Basique
Satisfy any
# Contr�le d'acc�s r�seau
Order deny,allow
Deny from all
Allow 192.168.1.0/24
# Configuration de l'authentification HTTP Basique
AuthType basic
AuthName "Protected Intranet Area"
AuthBasicProvider file
AuthUserFile conf/protected.passwd
Require valid-user
</Directory></pre></div>
<div class="section">
<h2><a name="logging" id="logging">Journalisation</a></h2>
<p><code class="module"><a href="/mod/mod_ssl.html">mod_ssl</a></code> peut enregistrer des informations de
d�bogage tr�s verbeuses dans le journal des erreurs, lorsque sa
� des niveaux de trace �lev�s. Par contre, sur un serveur tr�s
sollicit�, le niveau <code>info</code> sera probablement d�j� trop
�lev�. Souvenez-vous que vous pouvez configurer la directive
pourvoir � vos besoins.</p>
</div></div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="/en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English"> en </a> |
</div><div id="footer">
<p class="apache">Copyright 2010 The Apache Software Foundation.<br />Autoris� sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="/mod/">Modules</a> | <a href="/mod/directives.html">Directives</a> | <a href="/faq/">FAQ</a> | <a href="/glossary.html">Glossaire</a> | <a href="/sitemap.html">Plan du site</a></p></div>
</body></html>