Accueil > Installer un serveur > Migration de http vers https

Migration de http vers https

Je ne vais pas vous faire une thèse à propos de "pourquoi migrer de http à https", voici simplement comment cela se passe:

Prérequis

Les module SSL (rewrite_module) et rewrite (ssl_module) doivent être activés.
Pour vérifier s’ils sont déjà actifs:

apachectl -M



Loaded Modules:

 ...

 rewrite_module (shared)

 ssl_module (shared)

 ...

Si ce n’est pas le cas, exécutez:



a2enmod ssl

a2enmod rewrite

service apache2 restart

Si vous utilisez Iptables, utilisez ceci dans le script qui va lancer le firewall:



iptables -I INPUT -p tcp --dport 443 -j ACCEPT

Installation de Certbot

Pour Debian 9, la documentation officielle (https://certbot.eff.org/lets-encrypt/debianstretch-apache) propose une installation en mode automatique, mais vous n'aurez la main sur rien du tout, donc c'est pas le pied, on va l'installer en mode manuel...

rajouter dans le fichier /etc/apt/sources.list

nano /etc/apt/sources.list



http://deb.debian.org/debian stretch-backports main

apt-get update

installez cerbot

Au cas où, on désinstalle une éventuelle installation existante...



apt-get remove certbot

et on installe

apt install certbot

Installation du certificat

Il vaut mieux installer 1 certificat par sous domaine, car en cas de modification, déplacement ou suppression de l’un de vos sites, tout est cloisonné et il n’y a pas d’impacts sur les autres certificats.

- Si votre site est accessible sous la forme www.example.com alors n'oubliez pas les 3 www !
- Il est conseiller d'entrer une adresse email valide
- Acceptez les conditions en tapant A et enter
- choisissez Secure - Make all requests redirect to secure HTTPS access

J'ai eu pas mal d'erreurs du type:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
J'ai cru comprendre qu'il faille obtenir un certificat en executant le code ci-dessous en raison d'un changement de fonctionnement de let's encrypt et de leur Cerbot...

exécutez ceci:

certbot certonly --standalone -d example.com -d www.example.com --pre-hook "systemctl stop apache2" --post-hook "systemctl start apache2"



certbot certonly --standalone -d example.com -d www.example.com --pre-hook "systemctl stop apache2" --post-hook "systemctl start apache2"

Et si vous avez des sous-domaines :



certbot certonly --standalone -d mydomain.com -d cdn1.mydomain.com -d cdn2.mydomain.com -d cdn3.mydomain.com --pre-hook "systemctl stop apache2" --post-hook "systemctl start apache2"

vos certificats sont placés dans le répertoire /etc/letsencrypt/live/

Modifiez vos virtualshost

si le fichier /etc/letsencrypt/options-ssl-apache.conf n'existe pas alors créez le, sinon modifiez le

/etc/letsencrypt/options-ssl-apache.conf



# Baseline setting to Include for SSL sites



SSLEngine on



# Intermediate configuration, tweak to your needs

SSLProtocol             all -SSLv2 -SSLv3

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

SSLHonorCipherOrder     on

SSLCompression          off



SSLOptions +StrictRequire



# Add vhost name to log entries:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" vhost_combined

LogFormat "%v %h %l %u %t \"%r\" %>s %b" vhost_common



#CustomLog /var/log/apache2/access.log vhost_combined

#LogLevel warn

#ErrorLog /var/log/apache2/error.log



# Always ensure Cookies have "Secure" set (JAH 2012/1)

#Header edit Set-Cookie (?i)^(.*)(;\s*secure)??((\s*;)?(.*)) "; Secure"

On veut que notre site internet soit accessible en http et en https et on veut rediriger http vers https



<IfModule mod_ssl.c>

<VirtualHost *:443>



        ServerAdmin webmaster@localhost

        ServerName www.example.com

        ServerAlias example.com



        DocumentRoot /var/www/blogs/ndd/example.com



        <Directory />

                Require all denied

                Options -Indexes -Includes -ExecCGI -FollowSymlinks

        </Directory>



        <Directory /var/www/blogs/ndd/example.com>

                Require all granted

                Options -Indexes -Includes -ExecCGI +FollowSymlinks

        </Directory>



        ErrorLog /var/log/apache2/site-example.com.log



        # Possible values include: debug, info, notice, warn, error, crit, alert, emerg.

        LogLevel warn

        CustomLog /var/log/apache2/access.log combined



        SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem

        SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

        Include /etc/letsencrypt/options-ssl-apache.conf



</VirtualHost>

</IfModule>





<VirtualHost *:80>



        RewriteEngine on

        RewriteCond %{SERVER_NAME} =www.example.com [OR]

        RewriteCond %{SERVER_NAME} =example.com

        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,QSA,R=permanent]



        ServerAdmin webmaster@localhost

        ServerName www.example.com

        ServerAlias example.com



        DocumentRoot /var/www/blogs/ndd/example.com



        <Directory />

                Require all denied

                Options -Indexes -Includes -ExecCGI -FollowSymlinks

        </Directory>



        <Directory /var/www/blogs/ndd/example.com>

                Require all granted

                Options -Indexes -Includes -ExecCGI +FollowSymlinks

        </Directory>



        ErrorLog /var/log/apache2/site-example.com.log



        # Possible values include: debug, info, notice, warn, error, crit, alert, emerg.

        LogLevel warn

        CustomLog /var/log/apache2/access.log combined



</VirtualHost>

Vérifiez la configuration apache

apachectl configtest



syntax OK

redémarrer apache



service apache2 restart

Testez votre certificat

testez votre certificat avec https://www.ssllabs.com/ssltest/index.html:

sslabs.com

Renouvellement des certificats

Le certificat est valable 90 jours seulement, il faudra le renouveler régulièrement

letsencrypt renew



Cert not yet due for renewal

Cela signifie qu'il n'est pas utile de renouveler le certificat pour le moment!

On va donc faire une tâche cron:

nano /etc/crontab



# m   h   dom  mon  dow user  command

  *   *   *    *    0   root   /usr/bin/letsencrypt renew >> /var/log/le-renew.log >/dev/null 2>&1



/etc/init.d/cron restart

Changer toutes vos url

Vérifiez que toutes vos url sont en https

Prévenez Google Webmaster Tools

Dans Google Webmaster Tools, il suffit d'ajouter un nouveau site en https et de changer d'adresse:
- ajouter votre site en https
- demander un changement d'adresse
- renvoyer un sitemap

Révoquer un certificat



letsencrypt revoke --cert-path /etc/letsencrypt/live/<domain_name>/cert.pem

Liens

https://www.memoinfo.fr/tutoriels-linux/configurer-lets-encrypt-apache/

Phpmyadmin

Autres configurations du serveur debian

Vos commentaires

mohammed lakhlili a écrit le 07-08-2018 :

bonjours, svp, je n'arrive pas à payer les 50 dollars qui correspond à mon certificat ssl et mon hébergement standard cordialement

1 réponse(s) :

https://www.installerunserveur.com a répondu le 09-08-2018 :

Bonjour

Personnellement j'utilise des certificats gratuits...

codialement

Répondre à ce(s) commentaires(s)