| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| serveur_hebergement:apache2:let_s_encrypt_certbot_et_ssl_sur_debian [2022/11/03 10:30] – fate | serveur_hebergement:apache2:let_s_encrypt_certbot_et_ssl_sur_debian [2024/03/22 13:45] (Version actuelle) – [Création d’un certificat wildcard] fate |
|---|
| Les certificats vont être créés dans le répertoire | Les certificats vont être créés dans le répertoire |
| <code>/etc/letsencrypt/live/nomdedomaine/</code> | <code>/etc/letsencrypt/live/nomdedomaine/</code> |
| | |
| | Une chose à savoir, les certificats créés par certbot ne sont accessibles qu'à l'utilisateur root. Les programmes comme Apache2, Postfix, PureFTP, etc sont exécutés par l'utilisateur root et auront donc accès à ces certificats mais il y peut y avoir d'autres programmes exécuté par un autre utilisateur ayant besoin de ces certificats (Collabora Online par exemple). Le meilleur moyen de donner accès à ces programmes aux certficats est d'utiliser [[ACL|https://fr.wikipedia.org/wiki/Access_Control_List]]. |
| | Commencez par installer le paquet acl : |
| | <code bash>sudo aptitude install acl</code> |
| | Ensuite tapez les commandes suivantes (remplacez utilisateur par votre utilisateur devant accéder aux certificats et nomdedomaine.fr par votre nom de domaine) : |
| | <code bash> |
| | sudo setfacl -m u:utilisateur:rX /etc/letsencrypt/{live,archive} |
| | sudo setfacl -R -m u:utilisateur:rX /etc/letsencrypt/{live,archive}/nomdedomaine.fr |
| | </code> |
| | La première commande donne accès à l'utilisateur "utilisateur" aux répertoires /etc/letsencrypt/live/ et /etc/letsencrypt/archive mais pas à leurs sous-dossiers. |
| | La seconde commande donne accès à l'utilisateur "utilisateur" aux fichiers se trouvant dans les répertoire /etc/letsencrypt/live/nomdedomaine.fr et /etc/letsencrypt/archive/nomdedomaine.fr. |
| | |
| | L'attribution des droits se fait en 2 fois car vous pouvez avoir les certificats de plusieurs noms de domaine dans vos dossiers live et archive mais ne vouloir donner l'accès qu'à un en particulier. Cette modification des droits est perdue après un redémarrage, donc pensez à ajouter un cron pour relancer ces commandes à chaque démarrage. |
| |
| =====Configuration d’Apache===== | =====Configuration d’Apache===== |
| # intermediate configuration | # intermediate configuration |
| SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 |
| SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE> | SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 |
| SSLHonorCipherOrder off | SSLHonorCipherOrder off |
| SSLSessionTickets off | SSLSessionTickets off |