Ceci est une ancienne révision du document !
Table des matières
Apache HTTP Server
Apache HTTP Server (ou juste « Apache ») est un server HTTP. Il est en version 2.2 dans Debian Wheezy et en version 2.4 dans Debian Jessie. La différence est notable car certaines parties de la configuration ont changé.
Activer et désactiver un site
Chaque site (généralement un virtual host) doit avoir un fichier dans /etc/apache2/sites-available
. Pour l'activer, exécuter :
a2ensite <nom_du_fichier>
Ceci a pour effet de créer un lien symbolique vers ce fichier dans /etc/apache2/sites-enabled
. Pour le désactiver :
a2dissite <nom_du_fichier>
Activer et désactiver un module
L'activation et la désactivation de module fonctionne d'une manière similaire aux sites :
a2enmod <nom_du_module> a2dismod <nom_du_module>
TLS
Pour la configuration TLS, on peut utiliser le générateur de Mozilla : https://mozilla.github.io/server-side-tls/ssl-config-generator/. Pour HSTS, il faut activer le module headers.
Pour éviter de les répéter dans chaque fichier de site, les paramètres généraux comme SSLProtocol, SSLCipherSuite et SSLHonorCipherOrder peuvent être mis dans /etc/apache/conf.d/
.
La configuration ci-dessous s'applique aux versions d'apache et openssl de jessie, consultez le lien si ce n'est pas votre cas.
On mettra donc, par exemple, dans la configuration du VHOST :
<VirtualHost *:443> ... SSLEngine on SSLCertificateFile /path/to/signed_certificate SSLCertificateChainFile /path/to/intermediate_certificate SSLCertificateKeyFile /path/to/private/key SSLCACertificateFile /path/to/all_ca_certs ... </VirtualHost>
et dans /etc/apache2/conf-available/tls.conf
:
# modern configuration : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.10&openssl=1.0.1k&hsts=yes&profile=modern SSLProtocol all -SSLv3 -TLSv1 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK SSLHonorCipherOrder on SSLCompression off # HSTS (mod_headers is required) (15768000 seconds = 6 months) Header always add Strict-Transport-Security "max-age=15768000" # OCSP Stapling, only in httpd 2.3.3 and later SSLUseStapling on SSLStaplingResponderTimeout 5 SSLStaplingReturnResponderErrors off SSLStaplingCache shmcb:/var/run/ocsp(128000)
On n'oubliera pas pour finir d'activer la configuration avec a2enconf
.