Changes

From SME Server

1,301 bytes added , 00:15, 8 November 2018

GA-1.0.0 // MAJ des pointeurs du Cours SME-101 // ajustement des lignes blanches après les commandes et les titres de paragraphes. // 2018-11-07 @ 17h15 HNE.

Line 15: Line 15:

[[Image:SME-101.04-001-ButFinal.png|top|center|700px]]

=== Marche à suivre ===

Line 26: Line 27:

* Nous créerons un gabarit personnalisé pour indiquer à la sauvegarde standard du Serveur SME-9.x d’inclure le répertoire <code>/etc/dehydrated</code>.

* Nous terminerons en décrivant la marche à suivre pour recréer un certificat standard auto-signé par le Serveur SME.

'''Remarques'''

Line 74: Line 76: −

'''But final'''

=== Cours SME-101 ===

'''''But final du cours SME-101'''''

Après avoir suivi le cours '''''SME-101''''', l'Étudiant possédera un site de Commerce en ligne fiable et hautement sécuritaire. De plus, il pourra utiliser un clone de son site, sur un Serveur SME virtuel sur sa station de travail, pour tester de nouvelles extensions et applications sans compromettre la sécurité ou l'intégrité de son site en ligne.

Line 82: Line 86: −

~~~~'''~~Cours SME-101~~'''~~~~

'''''Documentation'''''

Le cours '''''SME-101''''', se voulant une base solide pour la création d'un site de Commerce en ligne, comprend plusieurs cahiers:

−

* '''Cahier-00''': Les bases de Linux,~~  ~~https://wiki.contribs.org/SME-101.00_Linux_de_base.

* '''Cahier-00''': Les bases de Linux, [https://wiki.contribs.org/SME-101.00_Linux_de_base SME-101.00 Linux de base].

−

* '''Cahier-01''': Installation et configuration des logiciels prérequis sur le poste de travail de l'Étudiant de même que le téléchargement des fichiers qui seront installés sur le Serveur SME virtuel,~~  ~~https://wiki.contribs.org/SME-101.01_Logiciels_de_la_station_de_travail.

* '''Cahier-01''': Installation et configuration des logiciels prérequis sur le poste de travail de l'Étudiant de même que le téléchargement des fichiers qui seront installés sur le Serveur SME virtuel, [https://wiki.contribs.org/SME-101.01_Logiciels_de_la_station_de_travail SME-101.01 Logiciels de la station de travail].

−

* '''Cahier-02''': Description du parcours des paquets IP du Serveur SME vers l'Internet, création de la machine virtuelle, installation/configuration du serveur Linux SME et enfin, sauvegarde/restauration de ce dernier,~~  ~~https://wiki.contribs.org/SME-101.02_Serveur_SME.

* '''Cahier-02''': Description du parcours des paquets IP du Serveur SME vers l'Internet, création de la machine virtuelle, installation/configuration du serveur Linux SME et enfin, sauvegarde/restauration de ce dernier, [https://wiki.contribs.org/SME-101.02_Serveur_SME SME-101.02 Serveur SME].

−

* '''Cahier-03''': Abonnement à un FAI, installation et configuration d'un modem ADSL/VDSL, création d'un domaine chez un fournisseur de Service DNS dynamique avec installation d'un script pour sa mise à jour et enfin la marche à suivre pour l'obtention et la configuration d'un domaine FQDN<ref name="~~ftn1~~"> '''FQDN''': Dans le DNS, un Fully Qualified Domain Name ''(FQDN, ou nom de domaine complètement qualifié)'' est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.''' '''''Référence'': [https://fr.wikipedia.org/wiki/Fully_qualified_domain_name https://fr.wikipedia.org/wiki/Fully_qualified_domain_name].'''</ref>,~~  ~~https://wiki.contribs.org/SME-101.03_ADSL/VDSL,_DDNS_et_Domaine_FQDN

* '''Cahier-03''': Abonnement à un FAI, installation et configuration d'un modem ADSL/VDSL, création d'un domaine chez un fournisseur de Service DNS dynamique avec installation d'un script pour sa mise à jour et enfin la marche à suivre pour l'obtention et la configuration d'un domaine FQDN<ref name="ftn30"> '''FQDN''': Dans le DNS, un Fully Qualified Domain Name ''(FQDN, ou nom de domaine complètement qualifié)'' est un nom de domaine qui révèle la position absolue d'un nœud dans l'arborescence DNS en indiquant tous les domaines de niveau supérieur jusqu'à la racine. On parle également de domaine absolu, par opposition aux domaines relatifs. Par convention, le FQDN est ponctué par un point final.''' '''''Référence'': [https://fr.wikipedia.org/wiki/Fully_qualified_domain_name https://fr.wikipedia.org/wiki/Fully_qualified_domain_name].'''</ref>, [https://wiki.contribs.org/SME-101.03_ADSL/VDSL,_DDNS_et_Domaine_FQDN SME-101.03 ADSL/VDSL, DDNS et Domaine FQDN].

−

* '''Cahier-04''': Installation d'un certificat SSL de l'autorité de certification Let's Encrypt et script de mise à jour.

* '''Cahier-04''': Installation d'un certificat SSL de l'autorité de certification Let's Encrypt et script de mise à jour, [https://wiki.contribs.org/SME-101.04_Certificat_Let%27s_Encrypt SME-101.04 Certificat Let's Encrypt].

−

* '''Cahier-05A''': Installation et configuration de WordPress.

* '''Cahier-05A''': Installation et configuration de WordPress, [https://wiki.contribs.org/SME-101.05A_WordPress SME-101.05A WordPress].

−

* '''Cahier-05B''': Installation et configuration de l'extension de sécurité Wordfence.

* '''Cahier-05B''': Installation et configuration de l'extension de sécurité Wordfence, [https://wiki.contribs.org/SME-101.05B_Wordfence SME-101.05B Wordfence].

−

* '''Cahier-06''': Installation et configuration de l'extension de vente en ligne WooCommerce, création de comptes chez Stripe et PayPal pour les paiements en ligne.

* '''Cahier-06''': Installation et configuration de l'extension de vente en ligne WooCommerce, création de comptes chez Stripe et PayPal pour les paiements en ligne, [https://wiki.contribs.org/SME-101.06_WooCommerce SME-101.06 WooCommerce].

−

* '''Cahier-07''': Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator.

* '''Cahier-07''': Sauvegarde/restauration ou migration d'un site avec l'extension Duplicator, [https://wiki.contribs.org/SME-101.07_Duplicator SME-101.07 Duplicator].

−

* '''Cahier-08''': Serveur mandataire inversé,~~  ~~https://wiki.contribs.org/Mandataire_invers%C3%A9.

* '''Cahier-08''': Serveur mandataire inversé, [https://wiki.contribs.org/Mandataire_invers%C3%A9 SME-101.08 Serveur mandataire inversé].

−

* '''Cahier-09''': Supplément: SME & BackupPC-4.2,~~  ~~https://wiki.contribs.org/BackupPC-4.2.

* '''Cahier-09''': Supplément: SME & BackupPC-4.2, [https://wiki.contribs.org/BackupPC-4.2 SME-101.09: Supplément: SME & BackupPC-4.2].

Tous les logiciels nécessaires sont du domaine public ou LIBRE sous licence GPL; ils ne coûtent pas un sous. Le seul achat nécessaire est l'obtention d'un nom de domaine FQDN au prix initial de $15 CAD et son renouvellement annuel d'environ $30 CAD.

=== Particularités de ce document ===

Line 107: Line 112:

* Les informations écrites ont préséance sur celles retrouvées dans les captures d’écrans. Se référer aux différents tableaux lorsque ceux-ci sont présents.

'''''Conventions'''''

−

Toutes les commandes à entrer à la console commencent habituellement avec l'invite ~~'''~~#~~'''~~ pour l'usager root ou ~~'''~~$~~'''~~ pour un usager sans privilège particulier. La sortie de la commande est séparée de celle-ci par une ligne vide sans couleur de fond. L'invite de retour n'est jamais présent pour la plupart des commandes. Les affichages à surveiller sont en rouge, bleu, orange ou magenta.

* Toutes les commandes à entrer à la console du Serveur SME commencent habituellement avec l'invite # pour l'usager root ou $ pour un usager sans privilège particulier.

* L'invite <code>mysql></code> de la console MySQL est toujours présente.

* La sortie de la commande est séparée de celle-ci par une ligne vide sans couleur de fond.

* L'invite de retour n'est jamais présent pour la plupart des commandes.

* Les affichages à surveiller sont en rouge, bleu, orange ou magenta.

# ping 192.168.1.149

−

192.168.1.149 is alive

192.168.1.149 is alive

−

Les liens de référence Internet sont en bleu de même que ceux intra document.

Les liens de référence Internet sont en bleu de même que ceux intra-document mais, ces derniers débute par un " # ".

[[Image:Icone-SeTirerDembarrasAPT.png|20px]]  Manipulation, truc ou ruse pour se tirer d’embarras.

Line 127: Line 138:

[[Image:Icone-DangerAPT.png|25px]]  Danger pour la sécurité du système.

[[Image:IconePlusieursLignesAPT.png|25px]]  Indique que la commande est sur une seule ligne. Pour ce document en PDF, il faudra copier la commande entière dans un éditeur de texte ASCII tel que NotePad++ et la mettre sur une seule ligne avant de la copier à la console.

Une chaîne de caractères en magenta indique qu’il faut remplacer cette chaîne par vos propres paramètres.

Line 139: Line 152:

|Commande indiquée à titre d'information seulement.

= Glossaire =

Ce chapitre rassemble quelques termes pour permettre une brève introduction à la cryptographie.

'''Cryptographie asymétrique'''

Line 149: Line 164:

La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui s'oppose à la cryptographie symétrique. Elle repose sur l'utilisation d'une clé publique ''(qui est diffusée)'' et d'une clé privée ''(gardée secrète)'', la première permettant de coder le message et la seconde de le décoder. Ainsi, l'expéditeur peut utiliser la clé publique du destinataire pour coder un message que seul le destinataire ''(en possession de sa clé privée)'' peut décoder, garantissant la confidentialité du contenu.

'''Chiffrement'''

L'un des rôles de la clé publique est de permettre le [https://fr.wikipedia.org/wiki/Chiffrement chiffrement]<nowiki>; c'est donc cette clé qu'utilisera Bob pour envoyer des messages chiffrés à Alice. L'autre clé — l'information secrète — sert à déchiffrer. Ainsi, Alice, et elle seule, peut prendre connaissance des messages de Bob. La connaissance d'une clé ne permet pas de déduire l'autre.</nowiki>

'''Échange de clés Diffie-Hellman'''

Line 159: Line 176:

En cryptographie, l'échange de clés Diffie-Hellman, du nom de ses auteurs Whitfield Diffie et Martin Hellman, est une méthode par laquelle deux agents nommés conventionnellement Alice et Bob peuvent se mettre d'accord sur un nombre ''(qu'ils peuvent utiliser comme clé pour chiffrer la conversation suivante)'' sans qu'un troisième agent appelé Ève puisse découvrir le nombre, même en ayant écouté tous leurs échanges.

'''Somme de contrôle'''

Line 165: Line 183:

La somme de contrôle ''(checksum)'', parfois appelée "empreinte", est un nombre qu'on ajoute à un message à transmettre pour permettre au récepteur de vérifier que le message reçu est bien celui qui a été envoyé. L'ajout d'une somme de contrôle à un message est une forme de contrôle par redondance.

'''Nonce'''

Line 171: Line 190:

Le nonce est un nombre arbitraire, à usage unique, utilisé pour signer un ensemble de données d'une communication électronique. Il permet notamment d'éviter les attaques de type "[https://fr.wikipedia.org/wiki/Attaque_par_rejeu Attaque par rejeu]".

'''Condensat'''

Line 177: Line 197:

Séquence de caractères alphanumériques de longueur fixe qui représente le contenu d'un message, sans le révéler, dont la valeur unique est produite par un algorithme de hachage et qu'on utilise pour créer une signature numérique.

'''Empreinte numérique'''

Line 185: Line 206:

Une empreinte numérique a toujours la même taille, quelle que soit la longueur du message initial. À l'instar d'une empreinte digitale, deux messages différents n'ont pas la même empreinte numérique. Après avoir calculé l'empreinte de son message, l'expéditeur la chiffre avec sa clé privée. Il envoie ensuite cette signature en même temps que le reste de son message. Lorsque le destinataire reçoit cette empreinte chiffrée, il la déchiffre grâce à la clé publique de l'expéditeur. Le destinataire compare alors le résultat obtenu avec le résultat qu'il calcule lui-même à partir du message reçu. Si les deux empreintes numériques sont identiques, il est assuré à la fois de l'identité de l'expéditeur et de l'intégrité du message.

'''Homme-du-milieu'''

Line 204: Line 226:

Le standard le plus utilisé pour la création des certificats numériques est le X.509.

−

Référence: [https://fr.wikipedia.org/wiki/X.509 https://fr.wikipedia.org/wiki/X.509].

''Référence'': [https://fr.wikipedia.org/wiki/X.509 https://fr.wikipedia.org/wiki/X.509].

Dans le système X.509, une autorité de certification attribue un certificat liant une clé publique à un nom distinctif ''(Distinguished Name)'' dont le format est défini par la recommandation X.500, ou encore à un nom alternatif ''(Alternative Name)'' tel qu'une adresse électronique ou un enregistrement DNS.

Ce certificat place la signature d'une autorité de certification dans le dernier champ. Concrètement, cette signature est réalisée par un condensat de tous les champs précédents du certificat et un chiffrement de ce condensat par la clé privée de l'autorité de certification. N'importe qui possédant la clé publique de cette autorité de certification peut déchiffrer le condensat et le comparer au calcul de son propre condensat du certificat. Si les deux condensats sont identiques, cela garantit que le certificat est intègre et qu'il n'a pas été modifié.

'''''Chaîne de certification'''''

Le certificat de l'autorité de certification qui contient sa clé publique peut à son tour être signé par un autre certificat de plus haut niveau, formant ainsi une chaîne. Tout en haut de la chaîne on trouve les certificats les plus importants: les certificats racines.

'''''Certificats racines'''''

Line 219: Line 243: −

'''Certificats à Validation de Domaine (DV)'''

'''Certificats à Validation de Domaine ''(DV)'' '''

''Référence'': https://www.certificat.fr/fr/produits/certificats+ssl/validation+du+domaine/.

Line 226: Line 250:

Pendant votre demande, vous devez indiquer une adresse courriel pour confirmation; vous pouvez choisir parmi une liste de différents courriel standard comme admin@, root@, administrator@ etc... ou l'adresse courriel qui est listée dans les informations du Whois du nom de domaine.

'''''Avantages'''''

Un certificat SSL DV est facile à obtenir. Vous obtenez ce certificat en quelques minutes.

'''''Bon à savoir'''''

Ce type de Certificat SSL certifie seulement que le site Internet est sécurisé. Il n'y a pas d'Autorité de Certification qui a vérifié et validé l'identité du propriétaire du site Internet.

'''''Pour qui?'''''

Line 242: Line 269:

'''SAN et Wildcard'''

−

Référence: [https://www.thawte.fr/ssl/san-uc-ssl-certificates/# https://www.thawte.fr/ssl/san-uc-ssl-certificates/#].

''Référence'': [https://www.thawte.fr/ssl/san-uc-ssl-certificates/# https://www.thawte.fr/ssl/san-uc-ssl-certificates/#].

−

Référence: https://www.thawte.fr/ssl/wildcard-ssl-certificates/.

''Référence'': https://www.thawte.fr/ssl/wildcard-ssl-certificates/.

Que signifient les termes SAN ''(Subject Alternative Names)'' et UC ''(Unified Communications)''?

Les certificats qui utilisent les SAN ''(Subject Alternative Names)'' sont des outils puissants qui permettent de sécuriser plusieurs noms de domaines de façon efficace et économique. Les certificats SSL Thawte permettent de sécuriser jusqu'à 25 noms de domaines complets avec un seul certificat utilisant les SAN. Les noms de certificats qui utilisent les SAN sont également appelés certificats UC ''(Unified Communications ou communications unifiées)'' et sont utilisés avec Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 et Microsoft Communications Server. L'objectif d'un certificat avec SAN est le même que n'importe quel autre certificat; il permet à un serveur de définir son identité et d'établir une communication sécurisée. Les certificats avec SAN procurent également un champ SAN ''(Subject Alternative Name)'' qui permet de protéger les noms de domaines additionnels avec un seul certificat.

'''''Pourquoi ai-je besoin d'un SAN?'''''

Line 262: Line 290:

* mail.toto.net

* toto.net

'''''Certificat SAN vs certificat Wildcard'''''

Line 268: Line 297:

Cependant, vous ne pourrez pas sécuriser plusieurs domaines uniques comme www.macompagnie.net et www.toto.org.

'''''Certificats SSL Wildcard'''''

Line 281: Line 311:

Un enregistrement CNAME ou enregistrement de Nom Canonique est un type d'enregistrement ressource dans le Domain Name System (DNS) qui spécifie que le nom de domaine est un alias d'un autre nom de domaine canonique.

'''Utilisation d'enregistrement CNAME'''

Line 300: Line 331:

=== Principe de fonctionnement de Letsencrypt ===

−

Référence: [https://linuxfr.org/news/reparlons-de-let-s-encrypt https://linuxfr.org/news/reparlons-de-let-s-encrypt].

''Référence'': [https://linuxfr.org/news/reparlons-de-let-s-encrypt https://linuxfr.org/news/reparlons-de-let-s-encrypt].

La facilité d'utilisation promise par Let's Encrypt repose principalement sur le client dehydrated et sur l'automatisation qu'il propose.

Line 321: Line 352:

En définitive, le but est que l'administrateur puisse mettre en place TLS en une seule commande, avant d'oublier jusqu'à l'existence même du client dehydrated.

=== Courriels du certificat ===

Aucun courriel n'est envoyé pour confirmer le certificat mais, vous devez fournir une adresse courriel et un/des CNAME valides lors de l'exécution du script dehydrated.

=== Transparence des certificats ===

Une partie de la mission de transparence de la société Let's Encrypt comprend la divulgation publique des certificats qu'elle délivre via Certificate Transparency. L'adresse courriel n'est pas divulguée publiquement.

=== Limites ===

Line 335: Line 369:

Les certificats Let's Encrypt sont valides pour 90 jours. Let's Encrypt recommande de les renouveler tous les 60 jours pour avoir une certaine marge de manoeuvre.

'''''5/7'''''

Line 365: Line 400:

domaine3.org ftp.domaine3.org

domaine4.info www.domaine4.org

Le fichier domains.txt ci-dessus, indique qu'il devrait y avoir 4 certificats: domaine1.com, domaine2.net, domaine3.org et domaine4.info. Chaque certificat couvrant le domaine principal et ses CNAME ''(sous-domaines)''.

[[Image:Icone-AsurveillerAPT.png|25px]]  Le résultat d'une telle énumération des domaines pourrait facilement atteindre ou dépasser la limite décrite 5/7.

=== Mode Officiel vs TEST (Staging) ===

−

Si vous voulez tester dehydrated et que vous n'êtes pas encore certain de vouloir l'adopter, vous pouvez utiliser l'option staging ''(incluant la ligne <code>CA="https://acme-staging.api.letsencrypt.org/directory"</code> dans le fichier de configuration <code>config</code>)''.

Si vous voulez tester dehydrated et que vous n'êtes pas encore certain de vouloir l'adopter, vous pouvez utiliser l'option staging ''(incluant la ligne <code><nowiki>CA="https://acme-staging.api.letsencrypt.org/directory"</nowiki></code> dans le fichier de configuration <code>config</code>)''.

Le principal avantage est de pouvoir demander autant de certificats que vous avez besoin pour vos tests sans vous heurter à la limite 5/7.

Line 382: Line 419:

Lors d'une demande de certificat officiel, le client dehydrated utilise la CA officielle, "Let’s Encrypt Authority X3".

'''''CA de TEST'''''

Line 424: Line 462:

PARAM_ACCEPT_TERMS="yes"

=== Clé de compte Let's Encrypt ===

Line 445: Line 484:

[[Image:Icone-NoteAPT.png|25px]]  Une clé SSL est toujours constituée d'une partie publique et d'une partie privée.

=== Aide ===

Line 451: Line 491:

dehydrated --help

=== En cas de trouble majeur avec un certificat ===

Advenant un trouble majeur avec un certificat et que vous vouliez en recréer un original, émis et certifié par le Serveur SME lui-même, veillez consulter le chapitre: [[#Certificat standard SME]].

= À savoir =

Line 469: Line 511:

* Les ports 80 et 443 sur le Serveur SME sont ouverts à l'Internet – ils ne sont pas derrière un pare-feu ou un filtrage par le FAI qui bloquerait ces ports.

−

Le client dehydrated émettra un certificat qui peut comprendre plusieurs noms d'hôte (par exemple: www.exemple.com, exemple.com et mail.exemple.com) qui tous, feront partie de la demande. Toutes les conditions ci-dessus doivent être remplies pour chacun des noms d'hôtes qu'on souhaite inclure dans le certificat.

Le client dehydrated émettra un certificat qui peut comprendre plusieurs noms d'hôte ''(par exemple: www.exemple.com, exemple.com et mail.exemple.com)'' qui tous, feront partie de la demande. Toutes les conditions ci-dessus doivent être remplies pour chacun des noms d'hôtes qu'on souhaite inclure dans le certificat.

[[Image:Icone-AsurveillerAPT.png|25px]]  Assurez-vous que tout est correctement en place avant de continuer.

Line 484: Line 526:

Si la commande affiche les paramètres <code>crt</code>, <code>key</code>, <code>CertificateChainFile</code> et leurs valeurs, il est fortement recommandé d'en faire une [[#Sauvegarde des fichiers du certificat actuel]]. Ainsi, si vous rencontrez un problème avec les fichiers du certificat généré par Let's Encrypt, vous serez alors en mesure de revenir aux paramètres précédents.

= Certificat Let's Encrypt =

Line 494: Line 537:

Let's Encrypt est une autorité de certification ''(CA)'' lancée le 3 décembre 2015 ''(Bêta Version Publique)''. Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS/SSL au moyen d'un mécanisme automatisé destiné à se passer du processus complexe actuel impliquant: la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites Internet.

=== Installation ===

Line 532: Line 576:

[[Image:Icone-AsurveillerAPT.png|25px]]  Ne pas signaler les changements pourrait empêcher la Contrib de fonctionner correctement et vos certificats ne seront pas renouvelés.

=== Mise à jour de la Contrib ===

−

[[Image:Icone-AstuceAPT.png|25px]]  Vous pouvez manuellement mettre à jour la Contrib i.e. <code>smeserver-letsencrypt</code> et <code>dehydrated</code> en utilisant la commande ci-dessous.

[[Image:Icone-AstuceAPT.png|25px]]  Vous pouvez manuellement mettre à jour la Contrib c.-à-d. <code>smeserver-letsencrypt</code> et <code>dehydrated</code> en utilisant la commande ci-dessous.

# yum update -y --enablerepo=smecontribs smeserver-letsencrypt dehydrated

Line 557: Line 602:

Si vous aviez fait une mise à jour, vous devriez signaler les changements.

# signal-event post-upgrade <nowiki>; </nowiki> signal-event reboot

=== Création des fichiers et répertoires requis ===

Line 568: Line 614:

/root

On crée le répertoire des défis ''(challenge)''.

# mkdir -p /home/e-smith/files/ibays/Primary/html/.well-known/acme-challenge

On ajuste '''R'''écursivement le propriétaire et le groupe de ces répertoires.

# chown -R admin:shared /home/e-smith/files/ibays/Primary/html/.well-known/

On ajuste '''R'''écursivement les droits.

# chmod -R 2750 /home/e-smith/files/ibays/Primary/html/.well-known/

On vérifie le répertoire <code>.well-known</code>.

Line 582: Line 632:

4 drwxr-s--- 3 admin shared 4096 3 oct. 16:33 /home/e-smith/files/ibays/Primary/html/.well-known/

On vérifie le répertoire <code>acme-challenge</code>.

Line 596: Line 647:

On crée le répertoire pour le gabarit personnalisé.

# mkdir -p /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf

Dans le gabarit personnalisé, on crée le fichier <code>VirtualHosts40ACME</code> et on y insère son contenu.

Line 608: Line 660:

EOT

On vérifie.

Line 626: Line 679:

# service httpd-e-smith restart

−

Restarting httpd-e-smith [ OK ]

Restarting httpd-e-smith [ OK ]

=== Choix des domaines et des hôtes ===

Line 667: Line 721:

On inclut micronator-101.com.

# db domains setprop micronator-101.com letsencryptSSLcert enabled

On vérifie.

Line 693: Line 748:

# db hosts setprop www.micronator-101.com letsencryptSSLcert enabled

=== Autres propriétés de configuration ===

Line 714: Line 770:

<nowiki>#</nowiki> config setprop letsencrypt keysize LONGUEUR-EN-BITS

=== Termes et conditions ===

Line 721: Line 778:

[[Image:Icone-AsurveillerAPT.png|25px]]  Seulement si vous acceptez les termes et conditions de Let's Encrypt, lancez la commande ci-dessous.

# config setprop letsencrypt ACCEPT_TERMS yes

=== Activation du mode TEST ===

Line 732: Line 790:

On active le mode TEST.

# config setprop letsencrypt status test

On signale les changements. ''(Peut prendre plusieurs secondes.)''

# signal-event console-save

=== Vérification ===

Line 742: Line 802:

CA="https://acme-staging.api.letsencrypt.org/directory"

On vérifie l'adresse courriel.

Line 747: Line 808:

CONTACT_EMAIL=admin@'''micronator.org'''

On vérifie les domaines et les hôtes.

Line 756: Line 818:

[[Image:Icone-AstuceAPT.png|25px]]  Le certificat sera émis au nom du premier domaine de la ligne; ici, ce sera micronator-101.com.

=== Affichage de l'aide sur la commande dehydrated ===

Line 801: Line 864:

--algo (-a) rsa|prime256v1|secp384r1 Which public key algorithm should be used? Supported: rsa,

prime256v1 and secp384r1

=== Lancement du script dehydrated ===

Line 934: Line 998:

=== Vérification du certificat ===

Line 986: Line 1,051:

=== Mode Production ===

Line 1,026: Line 1,092:

Si cette demande a réussie, félicitations! Vous avez obtenu un certificat TLS/SSL OFFICIEL et valide qui se renouvellera automatiquement à perpétuité.

=== Vérification avec le gestionnaire Server Manager ===

Line 1,088: Line 1,155:

micronator-101.com ftp.micronator-101.com mail.micronator-101.com proxy.micronator-101.com wpad.micronator-101.com www.micronator-101.com

=== Vérification par Qualsys SSLLabs ===

Line 1,180: Line 1,248:

key<nowiki>=/etc/dehydrated/certs/micronator-101.com/privkey.pem</nowiki>

status=enabled

=== Conclusion ===

Line 1,185: Line 1,254:

* Le client <code>/usr/bin/dehydrated</code> fonctionne correctement de même que tous les fichiers de configuration.

* Avec le script de point d'entrée <code>/usr/bin/dehydrated_hooks</code> les propriétés de <code>modSSL</code> ont été modifiées et les changements signalés pour installer le nouveau certificat.

= Renouvellement =

Line 1,208: Line 1,278:

Au début de l'exécution, le client dehydrated:

−

* a examiné le fichier <code>/etc/dehydrated/config</code> et n'a vu aucune modification des paramètres,

# a examiné le fichier <code>/etc/dehydrated/config</code> et n'a vu aucune modification des paramètres,

−

* a examiné le fichier <code>/etc/dehydrated/domains.txt</code> et vu qu'il n'avait pas été modifié par rapport au dernier certificat: unchanged,

# a examiné le fichier <code>/etc/dehydrated/domains.txt</code> et vu qu'il n'avait pas été modifié par rapport au dernier certificat: unchanged,

−

* a vérifié la validité du certificat et vu qu'il était encore valide pour plus de 30 jours: Longer than 30 days,

# a vérifié la validité du certificat et vu qu'il était encore valide pour plus de 30 jours: Longer than 30 days,

−

* a affiché la dernière ligne du message: Skipping renew!, et il s'est arrêté sans aller plus loin,

# a affiché la dernière ligne du message: Skipping renew!, et il s'est arrêté sans aller plus loin,

−

* arrêté, il ne s'est pas rendu au script de point d'entrée; les propriétés de <code>modSSL</code> sont demeurées inchangées et il n'y a eu aucun changement de signaler.

# arrêté, il ne s'est pas rendu au script de point d'entrée; les propriétés de <code>modSSL</code> sont demeurées inchangées et il n'y a eu aucun changement de signaler.

=== Manuel forcé ===

Line 1,218: Line 1,289:

Nous avons plusieurs choix pour lancer le client <code>dehydrated</code> et l'obliger à renouveler notre premier certificat.

−

* Attendre la fin du certificat.

# Attendre la fin du certificat.

−

* Révoquer le certificat.

# Révoquer le certificat.

−

* Modifier un domaine du fichier domains.txt.

# Modifier un domaine du fichier domains.txt.

−

* Ajouter/enlever un domaine au fichier <code>domains.txt</code>.

# Ajouter/enlever un domaine au fichier <code>domains.txt</code>.

−

* Utiliser l'option <code>--force</code> lors du lancement de la commande dehydrated.

# Utiliser l'option <code>--force</code> lors du lancement de la commande dehydrated.

On choisit de lancer le client <code>dehydrated</code> avec l'option <code>--force</code> pour imposer un renouvellement.

Line 1,262: Line 1,333:

Pour ce renouvellement, le client <code>dehydrated</code>:

−

* a commencé par analyser le fichier de configuration <code>config</code>, <nowiki># INFO</nowiki>: Using main config file /etc/dehydrated/config.

# a commencé par analyser le fichier de configuration <code>config</code>, <nowiki># INFO</nowiki>: Using main config file /etc/dehydrated/config.

−

* n'a pas généré de nouvelle clé de compte Let's Encrypt.

# n'a pas généré de nouvelle clé de compte Let's Encrypt.

−

* n'a vu aucune modification dans les noms de domaines + Checking domain name(s) of existing cert... unchanged.

# n'a vu aucune modification dans les noms de domaines + Checking domain name(s) of existing cert... unchanged.

−

* a vérifié la date d'expiration du certificat, + Checking expire date of existing cert...

# a vérifié la date d'expiration du certificat, + Checking expire date of existing cert...

−

* a ignoré le temps de validité restant, Ignoring because renew was forced!

# a ignoré le temps de validité restant, Ignoring because renew was forced!

−

* a signé les domaines + Signing domains...

# a signé les domaines + Signing domains...

−

* a généré une nouvelle clé privée pour le serveur: + Generating private key...

# a généré une nouvelle clé privée pour le serveur: + Generating private key...

−

* n'a pas créé de nouveaux répertoires.

# n'a pas créé de nouveaux répertoires.

−

* a créé une nouvelle requête CSR, + Generating signing request...

# a créé une nouvelle requête CSR, + Generating signing request...

−

* a requis les défis et vérifié leurs réponses, + Requesting challenge / + Already validated!.

# a requis les défis et vérifié leurs réponses, + Requesting challenge / + Already validated!.

−

* a fait la demande du certificat, + Requesting certificate...,

# a fait la demande du certificat, + Requesting certificate...,

−

* une fois reçu, il a vérifié le certificat, + Checking certificate...,

# une fois reçu, il a vérifié le certificat, + Checking certificate...,

−

* + Done!: le tout terminé,

# + Done!: le tout terminé,

−

* + Creating fullchain.pem... il a créé la chaîne de certification et ajusté les pointeurs.

# + Creating fullchain.pem... il a créé la chaîne de certification et ajusté les pointeurs.

−

* a alors appelé le script de point d'entrée et celui-ci a modifié les propriétés de <code>modSSL</code> et signalé les changements pour activer le nouveau certificat.

# a alors appelé le script de point d'entrée et celui-ci a modifié les propriétés de <code>modSSL</code> et signalé les changements pour activer le nouveau certificat.

Tous les répertoires existaient, la ligne ci-dessous est donc manquante avec ce renouvellement.

+ Creating new directory /etc/dehydrated/certs/micronator-101.com ...

=== Vérification ===

Line 1,336: Line 1,408:

0 lrwxrwxrwx 1 root root 22 4 oct. 12:32 privkey.pem -> privkey-1538670628.pem

−

* Nouvelle requête: cert-1538670628.csr.

# Nouvelle requête: cert-1538670628.csr.

−

* Nouveau certificat: cert-1538670628 .pem.

# Nouveau certificat: cert-1538670628 .pem.

−

* Nouvelle chaîne de certification: chain-1538670628 .pem.

# Nouvelle chaîne de certification: chain-1538670628 .pem.

−

* La nouvelle clé privée: privkey-1538670628 .pem.

# La nouvelle clé privée: privkey-1538670628 .pem.

−

* Les pointeurs ont tous été ajustés vers *-1538670628*.

# Les pointeurs ont tous été ajustés vers *-1538670628*.

[[Image:Icone-NoteAPT.png|25px]]  Les propriétés de <code>modSSL</code> ont été modifiées mais vu que <code>dehydrated</code> utilise des pointeurs qui ne changent jamais de noms, il semble que les pointeurs soient demeurés les mêmes.

Ce sont les pointeurs des cibles destinataires que <code>dehydrated</code> a modifiées. Si, précédemment, nous avions eu un certificat d'une autre CA, nous aurions vu les modifications apportées aux propriétés de <code>modSSL</code>.

Line 1,390: Line 1,463:

[[Image:Icone-NoteAPT.png|25px]]  La CA "Let’s Encrypt Authority X3" étant dans la chaîne des CA et de ce fait reconnue, le certificat est automatiquement accepté.

−

Line 1,527: Line 1,599:

−

{| style="float: right; margin-left:0.5em ;margin-right:40px;"

Line 1,563: Line 1,634:

=== Conclusion ===

Line 1,571: Line 1,643:

À certaines occasions, telle la mise au rancart d'un serveur, on devrait révoquer le certificat du serveur.

=== Affichage des certificats actuels ===

Line 1,817: Line 1,890:

* Le domaine de votre hôte interne ''(dev.micronator-101.com)'', lorsque résolu par le DNS de l'Internet, pointe vers une adresse IP publique valide.

−

* Le domaine vers lequel dev.micronator-101.com pointe depuis l'Internet, i.e. vers micronator-101.com, dispose d'un serveur Web actif sur le port 80.

* Le domaine vers lequel dev.micronator-101.com pointe depuis l'Internet, c.-à-d. vers micronator-101.com, dispose d'un serveur Web actif sur le port 80.

* L'utilisateur root de dev.micronator-101.com peut se connecter au serveur principal sme-9.micronator-101.com via SSH sans devoir utiliser un mot de passe ''(c'est-à-dire que vous avez configuré l'authentification par clé publique SSH)''.

Line 1,840: Line 1,913: −

Les paramètres des variables soulignées ci-dessus doivent être modifiées pour correspondre à votre situation. la variable <code>path</code> devrait être l'emplacement du répertoire dans lequel le serveur principal sme-9.micronator-101.com sauvegarde les défis: i.e. le répertoire <code>.well-known/acme-challenge/</code>. Lorsque le script <code>dehydrated</code> crée les fichiers de défis, il les transfère via SCP vers <code>user@host:path</code> puis, demande au serveur Let's Encrypt de les valider. Une fois la validation effectuée, le script dehydrated supprime le contenu du répertoire des défis: <code>user@host:path</code>.

Les paramètres des variables soulignées ci-dessus doivent être modifiées pour correspondre à votre situation. la variable <code>path</code> devrait être l'emplacement du répertoire dans lequel le serveur principal sme-9.micronator-101.com sauvegarde les défis: c.-à-d. le répertoire <code>.well-known/acme-challenge/</code>. Lorsque le script <code>dehydrated</code> crée les fichiers de défis, il les transfère via SCP vers <code>user@host:path</code> puis, demande au serveur Let's Encrypt de les valider. Une fois la validation effectuée, le script dehydrated supprime le contenu du répertoire des défis: <code>user@host:path</code>.

=== Prérequis ===

Line 1,965: Line 2,039:

    Port 2222

Ou celle-ci pour spécifier tous les serveur sur le réseau 192.168.1.0.

Line 1,973: Line 2,048:

    Port 2222

On peut aussi spécifier des hôtes utilisant des ports différents.

Line 1,998: Line 2,074:

EOT

On vérifie le contenu.

Line 2,005: Line 2,082:

Port 2222

−

[[Image:Icone-AsurveillerAPT.png|25px]]  Il peut y avoir une ligne vide avant la ligne Host 192.168.1.1.

Line 2,034: Line 2,109:

* Première ligne: <code>cat .ssh/id_rsa.pub \</code> indique d'afficher la clé publique <code>id_rsa.pub</code>. Le caractère "\" à la fin de la ligne indique que la commande se poursuit sur la ligne suivante.

* Deuxième ligne: le caractère de pipe "|" au début de la ligne indique de passer le résultat de la commande précédente <code>cat</code> à la commande suivante <code>ssh</code>. Le paramètre <code>-p 2222</code> n'est pas utilisé car, il l'est dans le fichier <code>config</code>. Le paramètre <code>root@192.168.1.1</code> indique de se connecter en tant que root à l'adresse <code>192.168.1.1</code>.

−

* Troisième ligne, qui est entre guillemets <code>"..."</code>, indique au serveur de destination i.e. sme-9 ''(le serveur principal - passerelle)'' d'exécuter la commande qui se trouve entre ces guillemets. Donc, le serveur sme-9 va afficher avec <code>cat</code> ce qu'il reçoit et va l'ajouter <code>>></code> à son fichier: <code>/root/.ssh/authorized_keys2</code>.

* Troisième ligne, qui est entre guillemets <code>"..."</code>, indique au serveur de destination c.-à-d. sme-9 ''(le serveur principal - passerelle)'' d'exécuter la commande qui se trouve entre ces guillemets. Donc, le serveur sme-9 va afficher avec <code>cat</code> ce qu'il reçoit et va l'ajouter <code>>></code> à son fichier: <code>/root/.ssh/authorized_keys2</code>.

Line 2,116: Line 2,191:

status=test

user=root

=== Choix des domaines et des hôtes ===

Line 2,156: Line 2,232:

On inclut micronator-101.com.

# db domains setprop micronator-101.com letsencryptSSLcert enabled

On vérifie.

Line 2,184: Line 2,261:

# db hosts setprop www.micronator-101.com letsencryptSSLcert enabled

=== Autres propriétés de configuration ===

Line 2,204: Line 2,282:

<nowiki>#</nowiki> config setprop letsencrypt keysize LONGUEUR-EN-BITS

=== Termes et conditions ===

Line 2,211: Line 2,290:

[[Image:Icone-AsurveillerAPT.png|25px]]  Si vous acceptez les termes et conditions de Let's Encrypt, lancez la commande ci-dessous.

# config setprop letsencrypt ACCEPT_TERMS yes

=== Activation du mode TEST ===

Line 2,222: Line 2,302:

On signale les changements. ''(Peut prendre plusieurs secondes.)''

# signal-event console-save

=== Vérification ===

Line 2,228: Line 2,309:

CA="https://acme-staging.api.letsencrypt.org/directory"

On vérifie l'adresse courriel.

Line 2,233: Line 2,315:

CONTACT_EMAIL=admin@'''micronator.org'''

On vérifie les domaines et les hôtes.

Line 2,242: Line 2,325:

[[Image:Icone-AstuceAPT.png|25px]]  Le certificat sera émis au nom du premier domaine de la ligne; ici, ce sera micronator-101.com.

=== Lancement du script dehydrated ===

Line 2,286: Line 2,370:

All complete

+ Done!

'''ERREUR'''

Line 2,358: Line 2,443:

=== Vérification du certificat ===

Line 2,529: Line 2,615:

All complete

+ Done!

[[Image:Icone-SeTirerDembarrasAPT.png|20px]]  Si vous recevez l'erreur ci-dessous, simplement relancer la demande. Il se peut que vous ayez à le faire plusieurs fois.

Line 2,540: Line 2,627:

<nowiki>ERROR: Problem connecting to server (get for https://acme-v01.api.letsencrypt.org/directory; curl returned with 6)</nowiki>

=== Vérification du certificat ===

Line 2,571: Line 2,659:

''Référence'': https://wiki.contribs.org/Backup_with_dar#Adding.2FExcluding_Directories_and_Files_from_the_backup_list.

=== Création du gabarit personnalisé ===

Line 2,607: Line 2,696:

[[Image:Icone-SeTirerDembarrasAPT.png|20px]]  Contrairement à ce qui est décrit dans la Contrib, il faut aussi utiliser <code>--go-into</code> pour les fichiers.

On vérifie.

Line 2,632: Line 2,722:

--go-into usr/bin/dehydrated_hooks

--go-into usr/bin/dehydrated_revoke

=== Vérification ===

Line 2,660: Line 2,751:

Restoring file's data: /etc/e-smith/templates-custom/etc/dar/DailyBackup.dcf/41go-into

...

−

Nous voyons que l'inclusion du répertoire et des sous-répertoires de <code>/etc/dehydrated</code> a bien fonctionnée.

Line 2,683: Line 2,773:

On veut recréer un certificat original émis et certifié par le Serveur SME-9.x lui-même.

=== Login ===

Line 2,692: Line 2,783:

/root

=== Création d'un répertoire de sauvegarde ===

Line 2,713: Line 2,805:

/root/dehydrated

Line 2,727: Line 2,820:

On sauvegarde le fichier de la chaîne de certification.

# cp /etc/dehydrated/certs/micronator-101.com /chain.pem .

On sauvegarde le fichier du certificat.

# cp /etc/dehydrated/certs/micronator-101.com /cert.pem .

On sauvegarde le fichier de la clé privée.

Line 2,740: Line 2,835:

total 8

8 -rw-r--r-- 1 root root 7637 2 mars 20:46 sme-9.micronator-101.com.pem

On sauvegarde le fichier <code>pem</code>.

Line 2,753: Line 2,849:

4 -rw------- 1 root root 3243 3 mars 17:23 privkey.pem

8 -rw-r--r-- 1 root root 7637 3 mars 17:25 sme-9.micronator-101.com.pem

=== Suppression de certaines propriétés de modSSL ===

Line 2,770: Line 2,867:

On supprime la propriété <code>CertificateChainFile</code>.

# config delprop modSSL CertificateChainFile

On supprime la propriété <code>crt</code>.

# config delprop modSSL crt

On supprime la propriété <code>key</code>.

Line 2,793: Line 2,892:

'''.crt'''

# rm -rf /home/e-smith/ssl.crt/*

On vérifie.

Line 2,804: Line 2,904:

'''.key'''

# rm -rf /home/e-smith/ssl.key/*

On vérifie.

Line 2,815: Line 2,916:

'''.pem'''

# rm -rf /home/e-smith/ssl.pem/*

On vérifie.

Line 2,822: Line 2,924:

4 drwx------ 2 root root 4096 3 mars 18:14 .

4 drwxr-xr-x 10 admin admin 4096 3 mars 17:55 ..

=== Signalisation des changements ===

Line 2,882: Line 2,985:

Le nouveau certificat, émis et certifié par le Serveur sme-9 lui-même, est fonctionnel.

−

−

[[Image:Odoo-11-BanniereDeLaVictoire-APT.png|caption|36px]]  Victoire totale, hissons la bannière de la victoire.

Michelandre

2,785

edits

Retrieved from "https://wiki.koozali.org/Special:MobileDiff/37081"

Changes

SME-101.04 Certificat Let's Encrypt (view source)

Revision as of 00:15, 8 November 2018

Navigation menu

Page actions

Page actions

Personal tools

Koozali SME Server

Recent activities

Koozali resources

Koozali SME Server wiki

Tools

Search