Serveur Apache HTTP Version 2.4
Serveur Apache HTTP Version 2.4
Ce document doit vous permettre de d�marrer et de faire fonctionner une configuration de base. Avant de vous lancer dans l'application de techniques avanc�es, il est fortement recommand� de lire le reste de la documentation SSL afin d'en comprendre le fonctionnement de mani�re plus approfondie.
Exemple de configuration basique Suites de chiffrement et mise en application de la s�curit�
de haut niveau Agrafage OCSP Authentification du client et contr�le d'acc�s Journalisation
Votre configuration SSL doit comporter au moins les directives suivantes :
LoadModule ssl_module modules/mod_ssl.so
Listen 443
<VirtualHost *:443>
ServerName www.example.com
SSLEngine on
SSLCertificateFile "/path/to/www.example.com.cert"
SSLCertificateKeyFile "/path/to/www.example.com.key"
</VirtualHost>
Les directives suivantes ne permettent que les chiffrements de plus haut niveau :
SSLCipherSuite HIGH:!aNULL:!MD5
Avec la configuration qui suit, vous indiquez une pr�f�rence pour des algorityhmes de chiffrement sp�cifiques optimis�s en mati�re de rapidit� (le choix final sera op�r� par mod_ssl, dans la mesure ou le client les supporte) :
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5 SSLHonorCipherOrder on
Dans ce cas bien �videmment, une directive SSLCipherSuite au niveau du serveur principal
qui restreint le choix des suites de chiffrement aux versions les plus
fortes ne conviendra pas. mod_ssl peut cependant �tre
reconfigur� au sein de blocs Location qui permettent
d'adapter la configuration g�n�rale � un r�pertoire sp�cifique ;
mod_ssl peut alors forcer automatiquement une
ren�gociation des param�tres SSL pour parvenir au but recherch�.
Cette configuration peut se pr�senter comme suit :
# soyons tr�s tol�rant a priori SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL <Location "/strong/area"> # sauf pour https://hostname/strong/area/ et ses sous-r�pertoires # qui exigent des chiffrements forts SSLCipherSuite HIGH:!aNULL:!MD5 </Location>
Le protocole de contr�le du statut des certificats en ligne (Online Certificate Status Protocol - OCSP) est un m�canisme permettant de d�terminer si un certificat a �t� r�voqu� ou non, et l'agrafage OCSP en est une fonctionnalit� particuli�re par laquelle le serveur, par exemple httpd et mod_ssl, maintient une liste des r�ponses OCSP actuelles pour ses certificats et l'envoie aux clients qui communiquent avec lui. La plupart des certificats contiennent l'adresse d'un r�pondeur OCSP maintenu par l'Autorit� de Certification (CA) sp�cifi�e, et mod_ssl peut requ�rir ce r�pondeur pour obtenir une r�ponse sign�e qui peut �tre envoy�e aux clients qui communiquent avec le serveur.
L'agrafage OCSP est la m�thode la plus performante pour obtenir le statut d'un certificat car il est disponible au niveau du serveur, et le client n'a donc pas besoin d'ouvrir une nouvelle connexion vers l'autorit� de certification. Autres avantages de l'absence de communication entre le client et l'autorit� de certification : l'autorit� de certification n'a pas acc�s � l'historique de navigation du client, et l'obtention du statut du certificat est plus efficace car elle n'est plus assujettie � une surcharge �ventuelle des serveurs de l'autorit� de certification.
La charge du serveur est moindre car la r�ponse qu'il a obtenu du r�pondeur OCSP peut �tre r�utilis�e par tous les clients qui utilisent le m�me certificat dans la limite du temps de validit� de la r�ponse.
Une fois le support g�n�ral SSL correctement configur�, l'activation de l'agrafage OCSP ne requiert que des modifications mineures � la configuration de httpd et il suffit en g�n�ral de l'ajout de ces deux directives :
SSLUseStapling On SSLStaplingCache "shmcb:ssl_stapling(32768)"
Ces directives sont plac�es de fa�on � ce qu'elles aient une port�e
globale (et particuli�rement en dehors de toute section VirtualHost), le
plus souvent o� sont plac�es les autres directives de configuration
globales SSL, comme conf/extra/httpd-ssl.conf pour les
installations de httpd � partir des sources, ou
/etc/apache2/mods-enabled/ssl.conf pour Ubuntu ou Debian,
etc...
Le chemin sp�cifi� par la directive
SSLStaplingCache (par exemple logs/)
doit �tre le m�me que celui sp�cifi� par la directive
SSLSessionCache. Ce chemin est relatif au chemin
sp�cifi� par la directive ServerRoot.
Cette directive SSLStaplingCache particuli�re
n�cessite le chargement du module mod_socache_shmcb (�
cause du pr�fixe shmcb de son argument). Ce module est en
g�n�ral d�j� activ� pour la directive
SSLSessionCache, ou pour des modules autres que
mod_ssl. Si vous activez un cache de session SSL
utilisant un m�canisme autre que mod_socache_shmcb,
utilisez aussi ce m�canisme alternatif pour la directive
SSLStaplingCache. Par exemple :
SSLSessionCache "dbm:ssl_scache" SSLStaplingCache "dbm:ssl_stapling"
Vous pouvez utiliser la commande openssl pour v�rifier que votre serveur envoie bien une r�ponse OCSP :
$ openssl s_client -connect www.example.com:443 -status -servername www.example.com
...
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
...
Cert Status: Good
...
Les sections suivantes explicitent les situations courantes qui
requi�rent des modifications suppl�mentaires de la configuration. Vous
pouvez aussi vous r�f�rer au manuel de r�f�rence de
mod_ssl.
Les r�ponses OCSP sont stock�es dans le cache d'agrafage SSL. Alors que les r�ponses ont une taille de quelques centaines � quelques milliers d'octets, mod_ssl supporte des r�ponses d'une taille jusqu'� environ 10 ko. Dans notre cas, le nombre de certificats est cons�quent et la taille du cache (32768 octets dans l'exemple ci-dessus) doit �tre augment�e. En cas d'erreur lors du stockage d'une r�ponse, le message AH01929 sera enregistr� dans le journal.
Veuillez vous r�f�rer � la documentation de la directive SSLStaplingForceURL.
Vous pouvez v�rifier si un certificat sp�cifie un r�pondeur OCSP en utilisant la commande openssl comme suit :
$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http' OCSP - URI:http://ocsp.example.com
Si un URI OCSP est fourni et si le serveur web peut communiquer directement avec lui sans passer par un mandataire, aucune modification suppl�mentaire de la configuration n'est requise. Notez que les r�gles du pare-feu qui contr�lent les connexions sortantes en provenance du serveur web devront peut-�tre subir quelques ajustements.
Si aucun URI OCSP n'est fourni, contactez votre autorit� de
certification pour savoir s'il en existe une ; si c'est le
cas, utilisez la directive SSLStaplingForceURL pour la sp�cifier dans
la configuration du serveur virtuel qui utilise le certificat.
Ajoutez la directive SSLUseStapling Off � la
configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit
�tre d�sactiv�.
De nombreuses directives permettent de g�rer les temps de r�ponse et
les erreurs. R�f�rez-vous � la documentation de SSLStaplingFakeTryLater, SSLStaplingResponderTimeout, et SSLStaplingReturnResponderErrors.
AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de serveur particulier est utilis�, une cha�ne de certification pour ce certificat doit �tre sp�cifi�e. Si cela n'a pas �t� fait lors de l'activation de SSL, l'erreur AH02217 sera enregistr�e lorsque l'agrafage OCSP sera activ�, et les clients qui utilisent le certificat consid�r� ne recevront pas de r�ponse OCSP.
Veuillez vous r�f�rer � la documentation des directives SSLCertificateChainFile et SSLCertificateFile pour sp�cifier une
cha�ne de certification.
Lorsque vous connaissez tous vos clients (comme c'est en g�n�ral le cas
au sein d'un intranet d'entreprise), vous pouvez imposer une
authentification bas�e uniquement sur les certificats. Tout ce dont vous
avez besoin pour y parvenir est de cr�er des certificats clients sign�s par
le certificat de votre propre autorit� de certification
(ca.crt), et d'authentifier les clients � l'aide de ces
certificats.
# exige un certificat client sign� par le certificat de votre CA # contenu dans ca.crt SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile "conf/ssl.crt/ca.crt"
Pour forcer les clients � s'authentifier � l'aide de certificats pour une
URL particuli�re, vous pouvez utiliser les fonctionnalit�s de reconfiguration
de mod_ssl en fonction du r�pertoire :
SSLVerifyClient none SSLCACertificateFile "conf/ssl.crt/ca.crt" <Location "/secure/area"> SSLVerifyClient require SSLVerifyDepth 1 </Location>
La cl� du probl�me consiste � v�rifier si une partie du certificat
client correspond � ce que vous attendez. Cela signifie en g�n�ral
consulter tout ou partie du nom distinctif (DN), afin de v�rifier s'il
contient une cha�ne connue. Il existe deux m�thodes pour y parvenir ;
on utilise soit le module mod_auth_basic, soit la
directive SSLRequire.
La m�thode du module mod_auth_basic est en g�n�ral
incontournable lorsque les certificats ont un contenu arbitraire, ou
lorsque leur DN ne contient aucun champ connu
(comme l'organisation, etc...). Dans ce cas, vous devez construire une base
de donn�es de mots de passe contenant tous les clients
autoris�s, comme suit :
SSLVerifyClient none
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"
<Directory "/usr/local/apache2/htdocs/secure/area">
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
AuthName "Snake Oil Authentication"
AuthType Basic
AuthBasicProvider file
AuthUserFile "/usr/local/apache2/conf/httpd.passwd"
Require valid-user
</Directory>
Le mot de passe utilis� dans cet exemple correspond � la cha�ne de
caract�res "password" chiffr�e en DES. Voir la documentation de la
directive SSLOptions pour
plus de d�tails.
/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA /C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA /C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA
Lorsque vos clients font tous partie d'une m�me hi�rarchie, ce qui
appara�t dans le DN, vous pouvez les authentifier plus facilement en
utilisant la directive SSLRequire, comme suit :
SSLVerifyClient none
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"
<Directory "/usr/local/apache2/htdocs/secure/area">
SSLVerifyClient require
SSLVerifyDepth 5
SSLOptions +FakeBasicAuth
SSLRequireSSL
SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
</Directory>
On suppose dans ces exemples que les clients de l'intranet ont des
adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
� laquelle vous voulez autoriser l'acc�s depuis l'Internet est
/usr/local/apache2/htdocs/subarea. Ces lignes de configuration
doivent se trouver en dehors de votre h�te virtuel HTTPS, afin qu'elles
s'appliquent � la fois � HTTP et HTTPS.
SSLCACertificateFile "conf/ssl.crt/company-ca.crt"
<Directory "/usr/local/apache2/htdocs">
# En dehors de subarea, seul l'acc�s depuis l'intranet est
# autoris�
Require ip 192.168.1.0/24
</Directory>
<Directory "/usr/local/apache2/htdocs/subarea">
# Dans subarea, tout acc�s depuis l'intranet est autoris�
# mais depuis l'Internet, seul l'acc�s par HTTPS + chiffrement fort + Mot de passe
# ou HTTPS + chiffrement fort + certificat client n'est autoris�.
# Si HTTPS est utilis�, on s'assure que le niveau de chiffrement est fort.
# Autorise en plus les certificats clients comme une alternative �
# l'authentification basique.
SSLVerifyClient optional
SSLVerifyDepth 1
SSLOptions +FakeBasicAuth +StrictRequire
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
# ON oblige les clients venant d'Internet � utiliser HTTPS
RewriteEngine on
RewriteCond "%{REMOTE_ADDR}" "!^192\.168\.1\.[0-9]+$"
RewriteCond "%{HTTPS}" "!=on"
RewriteRule "." "-" [F]
# On permet l'acc�s soit sur les crit�res r�seaux, soit par authentification Basique
Satisfy any
# Contr�le d'acc�s r�seau
Require ip 192.168.1.0/24
# Configuration de l'authentification HTTP Basique
AuthType basic
AuthName "Protected Intranet Area"
AuthBasicProvider file
AuthUserFile "conf/protected.passwd"
Require valid-user
</Directory>
mod_ssl peut enregistrer des informations de
d�bogage tr�s verbeuses dans le journal des erreurs, lorsque sa
directive LogLevel est d�finie
� des niveaux de trace �lev�s. Par contre, sur un serveur tr�s
sollicit�, le niveau info sera probablement d�j� trop
�lev�. Souvenez-vous que vous pouvez configurer la directive
LogLevel par module afin de
pourvoir � vos besoins.