Certificat SSL acheté et après ?

tchup · Juin 5, 2018, 3:48pm

Bonjour à tous,

je suis sur le point d’acheter un certificat SSL standard pour sécuriser 2 sites Web hébergés sous Debian 8.10 + apache 2.4.10.
J’ai commencé à me renseigner sur la modification de configuration apache2 (vhosts). J’aurais donc plusieurs questions afin de faire les choses correctement.

1/ est-il vrai qu’un certificat SSL standard une adresse du genre : “domaine.fr” suffit à protéger mes 2 sites Web : toto.domaine.fr et tutu.domaine.fr ?

2/ à quel endroit faut-il stocker le certificat obtenu par le CA ? ma clé privée ?

3/ quels droits faut il leur mettre ?

4/ est-il possible d’utiliser ce certificat pour accéder à Debian en SSH ? (si c’est une bonne idée)

Merci d’avance !

Almtesh · Juin 5, 2018, 7:18pm

Bonjour.

Non, il faut un wildcard *.domaine.fr pour faire ça.

Normalement, on met la clef publique dans /etc/ssl/certs et la clef privée dans /etc/ssl/private.

Le serveur apache est lancé en tant que root quand il récupère les clefs et redescend en www-data après. Du coup, la clef publique doit être lisible par tout le monde et la clef privée ne doit être lisible que par root.

Je crois que le type de la clef n’est pas la bonne, mais je ne suis pas sûr, à tester…

De rien.

lc63 · Juin 5, 2018, 8:55pm

Pour le point 4/, SSH est plus basique que la norme X.509 et n’a pas besoin de certificat (un certificat encapsule entre autre une clé, une signature et des infos relatives au propriétaire). En ce sens les clés privées et publiques suffisent pour une authentification SSH, mais tu peux faire déjà beaucoup de choses (https://ef.gy/hardening-ssh).

Pour info pour ton HTTPS/SSL, tu peux avoir des certificats gratuits et certifiés par une autorité ici :

let’s encrypt (Linux Fundation), qui propose une sorte d’API : https://letsencrypt.org/
utilisable par exemple via le client certbot sur une debian : https://certbot.eff.org/

Certbot ne propose pas de wildcard sur debian 8/nginx (à voir pour apache) mais tu peux enregistrer plusieurs sous-domaines sans problème.

J’utilise ça dans un cadre pro, aucun souci (faut juste ajouter un cron pour renouveler les certificats chaque mois, comme expliqué sur le site de certbot).

jimbo · Juin 5, 2018, 8:56pm

fait le avec let’s encrypt

tchup · Juin 6, 2018, 8:14am

Merci à tous pour vos réponses !

1/ c’est ce que je croyais avant de lire cette note sur cette page :

J’ai posé la même question au support Gandi… j’attends leur réponse.

2/ ok par contre dans /etc/ssl/certs : il n’y a que des liens symboliques pointant vers des fichiers PEM et CRT se trouvant dans /usr/share/ca-certificates/mozilla/ :

lrwxrwxrwx 1 root root 84 avril 5 2017 GeoTrust_Primary_Certification_Authority_-_G2.pem -> /usr/share/ca-certificates/mozilla/GeoTrust_Primary_Certification_Authority_-_G2.crt

3/ ok donc il me faut :

chmod 644 /etc/ssl/certs/my-certificat.crt
chown root /etc/ssl/certs/my-certificat.crt

chmod 600 /etc/ssl/private/my-private-key.key
chown root /etc/ssl/private/my-private-key.key

?

4/ je pense avoir compris pour la différence avec SSH… reste à lire ton lien et à mettre en pratique si c’est pas trop complexe.

Pour ce qui est de Let’s Encrypt (que je ne connaissais pas) ça ne va pas être possible car mon client est obligé de travailler avec des entreprises françaises.
Par contre, je vais surement m’en rapprocher pour un autre client !

jimbo · Juin 6, 2018, 3:11pm

bon ben achetes 2 certificat pour chaque sous domaine pas le choix

tchup · Juin 7, 2018, 11:26am

Bonjour,

1/ alors en faite maintenant c’est plus clair… chez Gandi l’achat du domaine “domaine.fr” intègre automatiquement (par défaut) le sous-domaine “www.domaine.fr” (et seulement)

2/ j’ai obtenu mon premier certificat… que j’ai copié dans /etc/ssl/certs/ et ma clé privée dans /etc/ssl/private/

3/ est-ce que les attributs suivants sont bons ?

chmod 644 /etc/ssl/certs/my-certificat.crt
chown root /etc/ssl/certs/my-certificat.crt

chmod 600 /etc/ssl/private/my-private-key.key
chown root /etc/ssl/private/my-private-key.key

Merci d’avance

MicP · Juin 7, 2018, 11:34am

Bonjour tchup

Avec les deux lignes de commande chown que tu as entrées
tu n’as changé en root que le nom du propriétaire, mais pas celui du groupe

Tu peux corriger ça, avec les privilèges du compte super-utilisateur root,
en lançant la ligne de commande suivante :

chown root:root /etc/ssl/{certs/my-certificat.crt,private/my-private-key.key}

tchup · Juin 7, 2018, 1:42pm

effectivement ! merci d’avoir vu ça MicP