25f72e2845c89a153ca9d3279d7feccbc912524ematthew<?xml version="1.0" encoding="ISO-8859-1" ?>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<!DOCTYPE manualpage SYSTEM "/style/manualpage.dtd">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<?xml-stylesheet type="text/xsl" href="/style/manual.fr.xsl"?>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

7edeca432448c9eb6a7618b130fccc3eb04459aemark<manualpage metafile="ssl_howto.xml.meta">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<parentdocument href="./">SSL/TLS</parentdocument>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <title>Chiffrement fort SSL/TLS : Mode d'emploi</title>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<summary>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<p>Ce document doit vous permettre de d&eacute;marrer et de faire fonctionner

25f72e2845c89a153ca9d3279d7feccbc912524ematthewune configuration de base. Avant de vous lancer dans l'application de

25f72e2845c89a153ca9d3279d7feccbc912524ematthewtechniques avanc&eacute;es, il est fortement recommand&eacute; de lire le reste

25f72e2845c89a153ca9d3279d7feccbc912524ematthewde la documentation SSL afin d'en comprendre le fonctionnement de

25f72e2845c89a153ca9d3279d7feccbc912524ematthewmani&egrave;re plus approfondie.</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew</summary>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<section id="configexample">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<title>Exemple de configuration basique</title>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<p>Votre configuration SSL doit comporter au moins les directives

25f72e2845c89a153ca9d3279d7feccbc912524ematthewsuivantes :</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<highlight language="config">

25f72e2845c89a153ca9d3279d7feccbc912524ematthewListen 443

25f72e2845c89a153ca9d3279d7feccbc912524ematthew&lt;VirtualHost *:443&gt;

25f72e2845c89a153ca9d3279d7feccbc912524ematthew ServerName www.example.com

25f72e2845c89a153ca9d3279d7feccbc912524ematthew SSLEngine on

25f72e2845c89a153ca9d3279d7feccbc912524ematthew SSLCertificateFile /path/to/www.example.com.cert

7edeca432448c9eb6a7618b130fccc3eb04459aemark SSLCertificateKeyFile /path/to/www.example.com.key

25f72e2845c89a153ca9d3279d7feccbc912524ematthew&lt;/VirtualHost&gt;

25f72e2845c89a153ca9d3279d7feccbc912524ematthew</highlight>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew</section>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<section id="ciphersuites">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<title>Suites de chiffrement et mise en application de la s&eacute;curit&eacute;

25f72e2845c89a153ca9d3279d7feccbc912524ematthewde haut niveau</title>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<ul>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<li><a href="#onlystrong">Comment cr&eacute;er un serveur SSL

25f72e2845c89a153ca9d3279d7feccbc912524ematthewqui n'accepte que le chiffrement fort ?</a></li>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<li><a href="#strongurl">Comment cr&eacute;er un serveur qui accepte tous les types de

25f72e2845c89a153ca9d3279d7feccbc912524ematthewchiffrement en g&eacute;n&eacute;ral, mais exige un chiffrement fort pour pouvoir

25f72e2845c89a153ca9d3279d7feccbc912524ematthewacc&eacute;der &agrave; une URL particuli&egrave;re ?</a></li>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew</ul>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<section id="onlystrong">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<title>Comment cr&eacute;er un serveur SSL qui n'accepte

25f72e2845c89a153ca9d3279d7feccbc912524ematthewque le chiffrement fort ?</title>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <p>Les directives suivantes ne permettent que les

25f72e2845c89a153ca9d3279d7feccbc912524ematthew chiffrements de plus haut niveau :</p>

28a3ff3fa0d3b5e1c774217425cf609cc6339df7matthew <highlight language="config">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew SSLCipherSuite HIGH:!aNULL:!MD5

25f72e2845c89a153ca9d3279d7feccbc912524ematthew </highlight>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <p>Avec la configuration qui suit, vous indiquez une pr&eacute;f&eacute;rence pour

25f72e2845c89a153ca9d3279d7feccbc912524ematthew des algorityhmes de chiffrement sp&eacute;cifiques optimis&eacute;s en mati&egrave;re de

25f72e2845c89a153ca9d3279d7feccbc912524ematthew rapidit&eacute; (le choix final sera op&eacute;r&eacute; par mod_ssl, dans la mesure ou le

25f72e2845c89a153ca9d3279d7feccbc912524ematthew client les supporte) :</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <highlight language="config">

25f72e2845c89a153ca9d3279d7feccbc912524ematthewSSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5

25f72e2845c89a153ca9d3279d7feccbc912524ematthewSSLHonorCipherOrder on

25f72e2845c89a153ca9d3279d7feccbc912524ematthew </highlight>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew</section>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<section id="strongurl">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<title>Comment cr&eacute;er un serveur qui accepte tous les types de

25f72e2845c89a153ca9d3279d7feccbc912524ematthewchiffrement en g&eacute;n&eacute;ral, mais exige un chiffrement fort pour pouvoir

25f72e2845c89a153ca9d3279d7feccbc912524ematthewacc&eacute;der &agrave; une URL particuli&egrave;re ?</title>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <p>Dans ce cas bien &eacute;videmment, une directive <directive

25f72e2845c89a153ca9d3279d7feccbc912524ematthew module="mod_ssl">SSLCipherSuite</directive> au niveau du serveur principal

25f72e2845c89a153ca9d3279d7feccbc912524ematthew qui restreint le choix des suites de chiffrement aux versions les plus

25f72e2845c89a153ca9d3279d7feccbc912524ematthew fortes ne conviendra pas. <module>mod_ssl</module> peut cependant &ecirc;tre

25f72e2845c89a153ca9d3279d7feccbc912524ematthew reconfigur&eacute; au sein de blocs <code>Location</code> qui permettent

25f72e2845c89a153ca9d3279d7feccbc912524ematthew d'adapter la configuration g&eacute;n&eacute;rale &agrave; un r&eacute;pertoire sp&eacute;cifique ;

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <module>mod_ssl</module> peut alors forcer automatiquement une

25f72e2845c89a153ca9d3279d7feccbc912524ematthew ren&eacute;gociation des param&egrave;tres SSL pour parvenir au but recherch&eacute;.

25f72e2845c89a153ca9d3279d7feccbc912524ematthew Cette configuration peut se pr&eacute;senter comme suit :</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <highlight language="config">

25f72e2845c89a153ca9d3279d7feccbc912524ematthew# soyons tr&egrave;s tol&eacute;rant a priori

341664ce1d0029ac39e10f21cebc2d57bac59ce1matthewSSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew&lt;Location /strong/area&gt;

25f72e2845c89a153ca9d3279d7feccbc912524ematthew# sauf pour https://hostname/strong/area/ et ses sous-r&eacute;pertoires

c474d6853192b277a73b133d56970bbf118d3fe3mark# qui exigent des chiffrements forts

820ed286b08eac25f26a4904ca06e9d600b612aemarkSSLCipherSuite HIGH:!aNULL:!MD5

c474d6853192b277a73b133d56970bbf118d3fe3mark&lt;/Location&gt;

c474d6853192b277a73b133d56970bbf118d3fe3mark </highlight>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew</section>

c474d6853192b277a73b133d56970bbf118d3fe3mark</section>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<section id="ocspstapling">

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<title>Agrafage OCSP</title>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew

c474d6853192b277a73b133d56970bbf118d3fe3mark<p>Le protocole de contr&ocirc;le du statut des certificats en ligne (Online

c474d6853192b277a73b133d56970bbf118d3fe3markCertificate Status Protocol - OCSP) est un m&eacute;canisme permettant de

c474d6853192b277a73b133d56970bbf118d3fe3markd&eacute;terminer si un certificat a &eacute;t&eacute; r&eacute;voqu&eacute; ou non, et l'agrafage OCSP en

820ed286b08eac25f26a4904ca06e9d600b612aemarkest une fonctionnalit&eacute; particuli&egrave;re par laquelle le serveur, par exemple

820ed286b08eac25f26a4904ca06e9d600b612aemarkhttpd et mod_ssl, maintient une liste des r&eacute;ponses OCSP actuelles pour

c474d6853192b277a73b133d56970bbf118d3fe3markses certificats et l'envoie aux clients qui communiquent avec lui. La

c474d6853192b277a73b133d56970bbf118d3fe3markplupart des certificats contiennent l'adresse d'un r&eacute;pondeur OCSP maintenu

c474d6853192b277a73b133d56970bbf118d3fe3markpar l'Autorit&eacute; de Certification (CA) sp&eacute;cifi&eacute;e, et mod_ssl peut requ&eacute;rir

c474d6853192b277a73b133d56970bbf118d3fe3markce r&eacute;pondeur pour obtenir une r&eacute;ponse sign&eacute;e qui peut &ecirc;tre envoy&eacute;e aux

c474d6853192b277a73b133d56970bbf118d3fe3markclients qui communiquent avec le serveur.</p>

c474d6853192b277a73b133d56970bbf118d3fe3mark

c474d6853192b277a73b133d56970bbf118d3fe3mark<p>L'agrafage OCSP est la m&eacute;thode la plus performante pour obtenir le

c474d6853192b277a73b133d56970bbf118d3fe3markstatut d'un certificat car il est disponible au niveau du serveur, et le

820ed286b08eac25f26a4904ca06e9d600b612aemarkclient n'a donc pas besoin d'ouvrir une nouvelle connexion vers

820ed286b08eac25f26a4904ca06e9d600b612aemarkl'autorit&eacute; de certification. Autres avantages de l'absence de

820ed286b08eac25f26a4904ca06e9d600b612aemarkcommunication entre le client et l'autorit&eacute; de certification :

c474d6853192b277a73b133d56970bbf118d3fe3markl'autorit&eacute; de certification n'a pas acc&egrave;s &agrave; l'historique de navigation

c474d6853192b277a73b133d56970bbf118d3fe3markdu client, et l'obtention du statut du certificat est plus efficace car

c474d6853192b277a73b133d56970bbf118d3fe3markelle n'est plus assujettie &agrave; une surcharge &eacute;ventuelle des serveurs de

25f72e2845c89a153ca9d3279d7feccbc912524ematthewl'autorit&eacute; de certification.</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<p>La charge du serveur est moindre car la r&eacute;ponse qu'il a obtenu du

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewr&eacute;pondeur OCSP peut &ecirc;tre r&eacute;utilis&eacute;e par tous les clients qui utilisent

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewle m&ecirc;me certificat dans la limite du temps de validit&eacute; de la r&eacute;ponse.</p>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<p>Une fois le support g&eacute;n&eacute;ral SSL correctement configur&eacute;, l'activation

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewde l'agrafage OCSP ne requiert que des modifications mineures

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew&agrave; la configuration de httpd et il suffit en g&eacute;n&eacute;ral de l'ajout de ces

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewdeux directives :</p>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew <highlight language="config">

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewSSLUseStapling On

25f72e2845c89a153ca9d3279d7feccbc912524ematthewSSLStaplingCache "shmcb:ssl_stapling(32768)"

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew </highlight>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<p>Ces directives sont plac&eacute;es de fa&ccedil;on &agrave; ce qu'elles aient une port&eacute;e

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewglobale (et particuli&egrave;rement en dehors de toute section VirtualHost), le

25f72e2845c89a153ca9d3279d7feccbc912524ematthewplus souvent o&ugrave; sont plac&eacute;es les autres directives de configuration

25f72e2845c89a153ca9d3279d7feccbc912524ematthewglobales SSL, comme <code>conf/extra/httpd-ssl.conf</code> pour les

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewinstallations de httpd &agrave; partir des sources, ou

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<code>/etc/apache2/mods-enabled/ssl.conf</code> pour Ubuntu ou Debian,

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewetc...</p>

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<p>Cette directive <directive>SSLStaplingCache</directive> particuli&egrave;re

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewn&eacute;cessite le chargement du module <module>mod_socache_shmcb</module> (&agrave;

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewcause du pr&eacute;fixe <code>shmcb</code> de son argument). Ce module est en

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthewg&eacute;n&eacute;ral d&eacute;j&agrave; activ&eacute; pour la directive

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<directive>SSLSessionCache</directive>, ou pour des modules autres que

5ffeac9af157b599c7fb34a23d6c50161fbd6a6cmatthew<module>mod_ssl</module>. Si vous activez un cache de session SSL

25f72e2845c89a153ca9d3279d7feccbc912524ematthewutilisant un m&eacute;canisme autre que <module>mod_socache_shmcb</module>,

25f72e2845c89a153ca9d3279d7feccbc912524ematthewutilisez aussi ce m&eacute;canisme alternatif pour la directive

25f72e2845c89a153ca9d3279d7feccbc912524ematthew<directive>SSLStaplingCache</directive>. Par exemple :</p>

25f72e2845c89a153ca9d3279d7feccbc912524ematthew

25f72e2845c89a153ca9d3279d7feccbc912524ematthew <highlight language="config">

25f72e2845c89a153ca9d3279d7feccbc912524ematthewSSLSessionCache "dbm:ssl_scache"

503c353d31964b01e67395d3b1207f3e408dd774matthewSSLStaplingCache "dbm:ssl_stapling"

503c353d31964b01e67395d3b1207f3e408dd774matthew </highlight>

503c353d31964b01e67395d3b1207f3e408dd774matthew

503c353d31964b01e67395d3b1207f3e408dd774matthew<p>Vous pouvez utiliser la commande openssl pour v&eacute;rifier que votre

503c353d31964b01e67395d3b1207f3e408dd774matthewserveur envoie bien une r&eacute;ponse OCSP :</p>

503c353d31964b01e67395d3b1207f3e408dd774matthew

503c353d31964b01e67395d3b1207f3e408dd774matthew<pre>

503c353d31964b01e67395d3b1207f3e408dd774matthew$ openssl s_client -connect www.example.com:443 -status -servername www.example.com

503c353d31964b01e67395d3b1207f3e408dd774matthew...

503c353d31964b01e67395d3b1207f3e408dd774matthewOCSP response:

503c353d31964b01e67395d3b1207f3e408dd774matthew======================================

503c353d31964b01e67395d3b1207f3e408dd774matthewOCSP Response Data:

503c353d31964b01e67395d3b1207f3e408dd774matthew OCSP Response Status: successful (0x0)

503c353d31964b01e67395d3b1207f3e408dd774matthew Response Type: Basic OCSP Response

503c353d31964b01e67395d3b1207f3e408dd774matthew...

503c353d31964b01e67395d3b1207f3e408dd774matthew Cert Status: Good

503c353d31964b01e67395d3b1207f3e408dd774matthew...

503c353d31964b01e67395d3b1207f3e408dd774matthew</pre>

503c353d31964b01e67395d3b1207f3e408dd774matthew

503c353d31964b01e67395d3b1207f3e408dd774matthew<p>Les sections suivantes explicitent les situations courantes qui

503c353d31964b01e67395d3b1207f3e408dd774matthewrequi&egrave;rent des modifications suppl&eacute;mentaires de la configuration. Vous

503c353d31964b01e67395d3b1207f3e408dd774matthewpouvez aussi vous r&eacute;f&eacute;rer au manuel de r&eacute;f&eacute;rence de

503c353d31964b01e67395d3b1207f3e408dd774matthew<module>mod_ssl</module>.</p>

503c353d31964b01e67395d3b1207f3e408dd774matthew

503c353d31964b01e67395d3b1207f3e408dd774matthew<section>

503c353d31964b01e67395d3b1207f3e408dd774matthew<title>Si l'on utilise plus que quelques certificats SSL pour le serveur</title>

503c353d31964b01e67395d3b1207f3e408dd774matthew<p>Les r&eacute;ponses OCSP sont stock&eacute;es dans le cache d'agrafage SSL. Alors

503c353d31964b01e67395d3b1207f3e408dd774matthewque les r&eacute;ponses ont une taille de quelques centaines &agrave; quelques

25f72e2845c89a153ca9d3279d7feccbc912524ematthewmilliers d'octets, mod_ssl supporte des r&eacute;ponses d'une taille jusqu'&agrave;

environ 10 ko. Dans notre cas, le nombre de certificats est cons&eacute;quent

et la taille du cache (32768 octets dans l'exemple ci-dessus) doit &ecirc;tre

augment&eacute;e. En cas d'erreur lors du stockage d'une r&eacute;ponse, le

message AH01929 sera enregistr&eacute; dans le journal.</p>

</section>

<section>

<title>Si le certificat ne sp&eacute;cifie pas de r&eacute;pondeur OCSP, ou si une

adresse diff&eacute;rente doit &ecirc;tre utilis&eacute;e</title>

<p>Veuillez vous r&eacute;f&eacute;rer &agrave; la documentation de la directive <directive

module="mod_ssl">SSLStaplingForceURL</directive>.</p>

<p>Vous pouvez v&eacute;rifier si un certificat sp&eacute;cifie un r&eacute;pondeur OCSP en

utilisant la commande openssl comme suit :</p>

<pre>

$ openssl x509 -in /www.example.com.crt -text | grep 'OCSP.*http'

OCSP - URI:http://ocsp.example.com

</pre>

<p>Si un URI OCSP est fourni et si le serveur web peut communiquer

directement avec lui sans passer par un mandataire, aucune modification

suppl&eacute;mentaire de la configuration n'est requise. Notez que les r&egrave;gles

du pare-feu qui contr&ocirc;lent les connexions sortantes en provenance du

serveur web devront peut-&ecirc;tre subir quelques ajustements.</p>

<p>Si aucun URI OCSP n'est fourni, contactez votre autorit&eacute; de

certification pour savoir s'il en existe une ; si c'est le

cas, utilisez la directive <directive

module="mod_ssl">SSLStaplingForceURL</directive> pour la sp&eacute;cifier dans

la configuration du serveur virtuel qui utilise le certificat.</p>

</section>

<section>

<title>Si plusieurs serveurs virtuels sont configur&eacute;s pour utiliser SSL

et si l'agrafage OCSP doit &ecirc;tre d&eacute;sactiv&eacute; pour certains d'entre eux</title>

<p>Ajoutez la directive <code>SSLUseStapling Off</code> &agrave; la

configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit

&ecirc;tre d&eacute;sactiv&eacute;.</p>

</section>

<section>

<title>Si le r&eacute;pondeur OCSP est lent ou instable</title>

<p>De nombreuses directives permettent de g&eacute;rer les temps de r&eacute;ponse et

les erreurs. R&eacute;f&eacute;rez-vous &agrave; la documentation de <directive

module="mod_ssl">SSLStaplingFakeTryLater</directive>, <directive

module="mod_ssl">SSLStaplingResponderTimeout</directive>, et <directive

module="mod_ssl">SSLStaplingReturnResponderErrors</directive>.</p>

</section>

<section>

<title>Si mod_ssl enregistre l'erreur AH02217 dans le journal</title>

<pre>

AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!

</pre>

<p>Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de

serveur particulier est utilis&eacute;, une cha&icirc;ne de certification pour ce

certificat doit &ecirc;tre sp&eacute;cifi&eacute;e. Si cela n'a pas &eacute;t&eacute; fait lors de

l'activation de SSL, l'erreur AH02217 sera enregistr&eacute;e lorsque

l'agrafage OCSP sera activ&eacute;, et les clients qui utilisent le certificat

consid&eacute;r&eacute; ne recevront pas de r&eacute;ponse OCSP.</p>

<p>Veuillez vous r&eacute;f&eacute;rer &agrave; la documentation des directives <directive

module="mod_ssl">SSLCertificateChainFile</directive> et <directive

module="mod_ssl">SSLCertificateFile</directive> pour sp&eacute;cifier une

cha&icirc;ne de certification.</p>

</section>

</section>

<section id="accesscontrol">

<title>Authentification du client et contr&ocirc;le d'acc&egrave;s</title>

<ul>

<li><a href="#allclients">Comment forcer les clients

&agrave; s'authentifier &agrave; l'aide de certificats ?</a></li>

<li><a href="#arbitraryclients">Comment forcer les clients

&agrave; s'authentifier &agrave; l'aide de certificats pour une URL particuli&egrave;re,

mais autoriser quand-m&ecirc;me tout client anonyme

&agrave; acc&eacute;der au reste du serveur ?</a></li>

<li><a href="#certauthenticate">Comment n'autoriser l'acc&egrave;s &agrave; une URL

particuli&egrave;re qu'aux clients qui poss&egrave;dent des certificats, mais autoriser

l'acc&egrave;s au reste du serveur &agrave; tous les clients ?</a></li>

<li><a href="#intranet">Comment imposer HTTPS avec chiffrements forts,

et soit authentification de base, soit possession de certificats clients,

pour l'acc&egrave;s &agrave; une partie de l'Intranet, pour les clients en

provenance de l'Internet ?</a></li>

</ul>

<section id="allclients">

<title>Comment forcer les clients

&agrave; s'authentifier &agrave; l'aide de certificats ?

</title>

<p>Lorsque vous connaissez tous vos clients (comme c'est en g&eacute;n&eacute;ral le cas

au sein d'un intranet d'entreprise), vous pouvez imposer une

authentification bas&eacute;e uniquement sur les certificats. Tout ce dont vous

avez besoin pour y parvenir est de cr&eacute;er des certificats clients sign&eacute;s par

le certificat de votre propre autorit&eacute; de certification

(<code>ca.crt</code>), et d'authentifier les clients &agrave; l'aide de ces

certificats.</p>

<highlight language="config">

# exige un certificat client sign&eacute; par le certificat de votre CA

# contenu dans ca.crt

SSLVerifyClient require

SSLVerifyDepth 1

SSLCACertificateFile conf/ssl.crt/ca.crt

</highlight>

</section>

<section id="arbitraryclients">

<title>Comment forcer les clients

&agrave; s'authentifier &agrave; l'aide de certificats pour une URL particuli&egrave;re,

mais autoriser quand-m&ecirc;me tout client anonyme

&agrave; acc&eacute;der au reste du serveur ?</title>

<p>Pour forcer les clients &agrave; s'authentifier &agrave; l'aide de certificats pour une

URL particuli&egrave;re, vous pouvez utiliser les fonctionnalit&eacute;s de reconfiguration

de <module>mod_ssl</module> en fonction du r&eacute;pertoire :</p>

<highlight language="config">

SSLVerifyClient none

SSLCACertificateFile conf/ssl.crt/ca.crt

&lt;Location /secure/area&gt;

SSLVerifyClient require

SSLVerifyDepth 1

&lt;/Location&gt;

</highlight>

</section>

<section id="certauthenticate">

<title>Comment n'autoriser l'acc&egrave;s &agrave; une URL

particuli&egrave;re qu'aux clients qui poss&egrave;dent des certificats, mais autoriser

l'acc&egrave;s au reste du serveur &agrave; tous les clients ?</title>

<p>La cl&eacute; du probl&egrave;me consiste &agrave; v&eacute;rifier si une partie du certificat

client correspond &agrave; ce que vous attendez. Cela signifie en g&eacute;n&eacute;ral

consulter tout ou partie du nom distinctif (DN), afin de v&eacute;rifier s'il

contient une cha&icirc;ne connue. Il existe deux m&eacute;thodes pour y parvenir ;

on utilise soit le module <module>mod_auth_basic</module>, soit la

directive <directive module="mod_ssl">SSLRequire</directive>.</p>

<p>La m&eacute;thode du module <module>mod_auth_basic</module> est en g&eacute;n&eacute;ral

incontournable lorsque les certificats ont un contenu arbitraire, ou

lorsque leur DN ne contient aucun champ connu

(comme l'organisation, etc...). Dans ce cas, vous devez construire une base

de donn&eacute;es de mots de passe contenant <em>tous</em> les clients

autoris&eacute;s, comme suit :</p>

<highlight language="config">

SSLVerifyClient none

SSLCACertificateFile conf/ssl.crt/ca.crt

SSLCACertificatePath conf/ssl.crt

&lt;Directory /usr/local/apache2/htdocs/secure/area&gt;

SSLVerifyClient require

SSLVerifyDepth 5

SSLOptions +FakeBasicAuth

SSLRequireSSL

AuthName "Snake Oil Authentication"

AuthType Basic

AuthBasicProvider file

AuthUserFile /usr/local/apache2/conf/httpd.passwd

Require valid-user

&lt;/Directory&gt;

</highlight>

<p>Le mot de passe utilis&eacute; dans cet exemple correspond &agrave; la cha&icirc;ne de

caract&egrave;res "password" chiffr&eacute;e en DES. Voir la documentation de la

directive <directive module="mod_ssl">SSLOptions</directive> pour

plus de d&eacute;tails.</p>

<example><title>httpd.passwd</title><pre>

/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA

/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA

/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA</pre>

</example>

<p>Lorsque vos clients font tous partie d'une m&ecirc;me hi&eacute;rarchie, ce qui

appara&icirc;t dans le DN, vous pouvez les authentifier plus facilement en

utilisant la directive <directive module="mod_ssl"

>SSLRequire</directive>, comme suit :</p>

<highlight language="config">

SSLVerifyClient none

SSLCACertificateFile conf/ssl.crt/ca.crt

SSLCACertificatePath conf/ssl.crt

&lt;Directory /usr/local/apache2/htdocs/secure/area&gt;

SSLVerifyClient require

SSLVerifyDepth 5

SSLOptions +FakeBasicAuth

SSLRequireSSL

SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \

and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}

&lt;/Directory&gt;

</highlight>

</section>

<section id="intranet">

<title>Comment imposer HTTPS avec chiffrements forts,

et soit authentification de base, soit possession de certificats clients,

pour l'acc&egrave;s &agrave; une partie de l'Intranet, pour les clients en

provenance de l'Internet ? Je souhaite quand-m&ecirc;me autoriser l'acc&egrave;s en HTTP

aux clients de l'intranet.</title>

<p>On suppose dans ces exemples que les clients de l'intranet ont des

adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet

&agrave; laquelle vous voulez autoriser l'acc&egrave;s depuis l'Internet est

<code>/usr/local/apache2/htdocs/subarea</code>. Ces lignes de configuration

doivent se trouver en dehors de votre h&ocirc;te virtuel HTTPS, afin qu'elles

s'appliquent &agrave; la fois &agrave; HTTP et HTTPS.</p>

<highlight language="config">

SSLCACertificateFile conf/ssl.crt/company-ca.crt

&lt;Directory /usr/local/apache2/htdocs&gt;

# En dehors de subarea, seul l'acc&egrave;s depuis l'intranet est

# autoris&eacute;

Require ip 192.168.1.0/24

&lt;/Directory&gt;

&lt;Directory /usr/local/apache2/htdocs/subarea&gt;

# Dans subarea, tout acc&egrave;s depuis l'intranet est autoris&eacute;

# mais depuis l'Internet, seul l'acc&egrave;s par HTTPS + chiffrement fort + Mot de passe

# ou HTTPS + chiffrement fort + certificat client n'est autoris&eacute;.

# Si HTTPS est utilis&eacute;, on s'assure que le niveau de chiffrement est fort.

# Autorise en plus les certificats clients comme une alternative &agrave;

# l'authentification basique.

SSLVerifyClient optional

SSLVerifyDepth 1

SSLOptions +FakeBasicAuth +StrictRequire

SSLRequire %{SSL_CIPHER_USEKEYSIZE} &gt;= 128

# ON oblige les clients venant d'Internet &agrave; utiliser HTTPS

RewriteEngine on

RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$

RewriteCond %{HTTPS} !=on

RewriteRule . - [F]

# On permet l'acc&egrave;s soit sur les crit&egrave;res r&eacute;seaux, soit par authentification Basique

Satisfy any

# Contr&ocirc;le d'acc&egrave;s r&eacute;seau

Require ip 192.168.1.0/24

# Configuration de l'authentification HTTP Basique

AuthType basic

AuthName "Protected Intranet Area"

AuthBasicProvider file

AuthUserFile conf/protected.passwd

Require valid-user

&lt;/Directory&gt;

</highlight>

</section>

</section>

<section id="logging">

<title>Journalisation</title>

<p><module>mod_ssl</module> peut enregistrer des informations de

d&eacute;bogage tr&egrave;s verbeuses dans le journal des erreurs, lorsque sa

directive <directive module="core">LogLevel</directive> est d&eacute;finie

&agrave; des niveaux de trace &eacute;lev&eacute;s. Par contre, sur un serveur tr&egrave;s

sollicit&eacute;, le niveau <code>info</code> sera probablement d&eacute;j&agrave; trop

&eacute;lev&eacute;. Souvenez-vous que vous pouvez configurer la directive

<directive module="core">LogLevel</directive> par module afin de

pourvoir &agrave; vos besoins.</p>

</section>

</manualpage>