Apache + mod_ssl: instructions pour soumettre une requête de certificat et installer un certificat

• Si nécessaire, configurer et compiler apache avec mod_ssl en suivant les instructions du consortium Apache:
  • Apache 1.3.x + mod_ssl
  • Apache 2.2.x
  et vérifier avec une configuration de test (avec certificat auto-signé) la fonctionnalité HTTPS.

• aller dans le répertoire de configuration du serveur apache (/usr/local/apache/conf, /usr/local/apache2/conf ou autre):

  cd .../conf
        

• préparer un fichier de configuration temporaire, par exemple /tmp/cert-req.cnf, contenant ces lignes:

  [ req ]
  default_bits = 2048
  prompt = no
  default_md = sha1
  distinguished_name = dn
  
  [ dn ]
  C = CH
  O = Ecole polytechnique federale de Lausanne (EPFL)
  CN = serveur.epfl.ch
        

  la ligne CN = ... (Common Name) doit contenir le nom du serveur que vous pensez publier dans les URL. Par exemple, pour un serveur qui aura des URL selon le format https://wwwalias.epfl.ch/document/, il faudra indiquer wwwalias.epfl.ch comme champ CN.

  Pour un serveur à noms multiples (aliases, virtual hosts), il suffit de remplace la ligne CN = ... par des lignes multiples, comme suit:

  0.CN = alias1.epfl.ch
  1.CN = alias2.epfl.ch
  2.CN = alias2.epfl.ch
  etc.
        

• générer la clef privée et la requête, en utilisant le fichier de configuration /tmp/cert-req.cnf décrit au point précédent:

  openssl req -new -nodes -config /tmp/cert-req.cnf -keyout server.key -out server.csr
        

  (à la place de server.key, mettre la valeur de la variable SSLCertificateKeyFile dans le fichier httpd.conf -- une copie de backup est bien sûr une bonne idée.)

  L'option -nodes de la commande openssl req ... signifie que la clef privée du serveur ne sera pas protégée par mot de passe, ce qui permet au serveur de (re)démarrer sans que vous ayez à entrer de mot de passe. Enlever l'option est donc plus sûr, mais bien plus contraignant (le démarrage du serveur HTTPS nécessite une intervention humaine.)

• soumettre le contenu du fichier server.csr (la requête de certificat) par le biais de ce formulaire (réservé aux responsables informatiques, au sens de l'accréditation, de l'unité à laquelle est rattaché le serveur)

• l'autorité de certification vous renverra le certificat signé, qui ressemblera à ceci:

  	-----BEGIN CERTIFICATE-----
  	MIICkTCCAfqgAwIBAgICAa0wDQYJKoZIhvcNAQEEBQAwgZUxCzAJBgNVBAYTAkNI
  	MQ0wCwYDVQQIEwRWYXVkMREwDwYDVQQHEwhMYXVzYW5uZTENMAsGA1UEChMERVBG
  
          ... etc ...
  
  	1ndLR53fAEPRabn0d9Bd6a9wRpC5KJueU4IZzc/OEFEpTTM+3wDe2z2J/0ZUoQbH
  	M4UaHmtfyrZPrM/+lZxKqpaPN2SJa+As0DyRfLGPHkfOq/PLDQ==
  	-----END CERTIFICATE-----
        

  il faut placer ces lignes dans le fichier correspondant à la valeur de la variable SSLCertificateFile dans le fichier httpd.conf, typiquement server.crt. sous le répertoire de configuration d'apach et donner les bonnes protections à ce fichier:

  	chmod 400 server.key
        

• c'est tout ! vous pouvez maintenant arrêter et redémarrer le serveur en activant SSL:

          apachectl stop; apachectl startssl