====== Apache HTTP Server ====== [[http://httpd.apache.org/|Apache HTTP Server]] (ou juste « Apache ») est un server [[doc:http|HTTP]]. Il est en version 2.2 dans Debian Wheezy et en version 2.4 dans Debian Jessie. La différence est notable car certaines parties de la configuration ont changé. ===== Activer et désactiver un site ===== Chaque site (généralement un virtual host) doit avoir un fichier dans ''/etc/apache2/sites-available''. Pour l'activer, exécuter : a2ensite Ceci a pour effet de créer un lien symbolique vers ce fichier dans ''/etc/apache2/sites-enabled''. Pour le désactiver : a2dissite ===== Activer et désactiver un module ===== L'activation et la désactivation de module fonctionne d'une manière similaire aux sites : a2enmod a2dismod ===== TLS ===== D'une manière générale, TLS est compliqué à configurer. Mozilla fournit donc un outil qui s'adapte aux versions de différents systèmes et serveurs : https://mozilla.github.io/server-side-tls/ssl-config-generator/. ==== Exemple : Apache 2.4 sur Debian Jessie ==== Dans la configuration du vhost : ... SSLEngine on SSLCertificateFile /path/to/certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key SSLCACertificateFile /path/to/ca_certificate ... Les paramètres communs peuvent être avantageusement placés dans un fichier mis à part, mais ce n'est pas obligatoire. # modern configuration : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.10&openssl=1.0.1k&hsts=yes&profile=modern SSLProtocol all -SSLv3 -TLSv1 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLHonorCipherOrder on SSLCompression off # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always add Strict-Transport-Security "max-age=15768000" # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000) Activer cette configuration séparée avec ''a2enconf''.