Wiki de FedeRez

Outils pour utilisateurs

Outils du site

Piste : httpd
doc:httpd

Ceci est une ancienne révision du document !

Table des matières

Apache HTTP Server

Apache HTTP Server (ou juste « Apache ») est un server HTTP. Il est en version 2.2 dans Debian Wheezy et en version 2.4 dans Debian Jessie. La différence est notable car certaines parties de la configuration ont changé.

Activer et désactiver un site

Chaque site (généralement un virtual host) doit avoir un fichier dans /etc/apache2/sites-available. Pour l'activer, exécuter : 

a2ensite <nom_du_fichier>

Ceci a pour effet de créer un lien symbolique vers ce fichier dans /etc/apache2/sites-enabled. Pour le désactiver : 

a2dissite <nom_du_fichier>

Activer et désactiver un module

L'activation et la désactivation de module fonctionne d'une manière similaire aux sites : 

a2enmod <nom_du_module>
a2dismod <nom_du_module>

TLS

Pour la configuration TLS, on peut utiliser le générateur de Mozilla : https://mozilla.github.io/server-side-tls/ssl-config-generator/. Pour HSTS, il faut activer le module headers.

Pour éviter de les répéter dans chaque fichier de site, les paramètres généraux comme SSLProtocol, SSLCipherSuite et SSLHonorCipherOrder peuvent être mis dans /etc/apache/conf.d/.

La configuration ci-dessous s'applique aux versions d'apache et openssl de jessie, consultez le lien si ce n'est pas votre cas.

On mettra donc, par exemple, dans la configuration du VHOST : 

<VirtualHost *:443>
    ...
    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate
    SSLCertificateChainFile /path/to/intermediate_certificate
    SSLCertificateKeyFile   /path/to/private/key
    SSLCACertificateFile    /path/to/all_ca_certs
    ...
</VirtualHost>

et dans /etc/apache2/conf-available/tls.conf : 

  # modern configuration : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.10&openssl=1.0.1k&hsts=yes&profile=modern
  SSLProtocol             all -SSLv3 -TLSv1
  SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
  SSLHonorCipherOrder     on
  SSLCompression          off
  
  # HSTS (mod_headers is required) (15768000 seconds = 6 months)
  Header always add Strict-Transport-Security "max-age=15768000"
  
  # OCSP Stapling, only in httpd 2.3.3 and later
  SSLUseStapling          on
  SSLStaplingResponderTimeout 5
  SSLStaplingReturnResponderErrors off
  SSLStaplingCache        shmcb:/var/run/ocsp(128000)

On n'oubliera pas pour finir d'activer la configuration avec a2enconf.

doc/httpd.1431775951.txt.gz · Dernière modification : 2015/05/16 13:32 de david.sinquin
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki