Installer un certificat Apache

Vous avez reçu votre certificat par email, avec éventuellement un ou plusieurs certificats intermédiaires, et un certificat racine. Gardez cet email sous la main.

1- Récupérez le ou les certificats sur votre serveur

Retournez là ou vous avez généré la clef privée, par exemple:

cd /etc/httpd/conf
ou
cd /etc/apache/conf

Téléchargez les fichiers indiqués dans l'email de livraison:

• A: votre certificat serveur
• B: la chaine de certification

2- Configurez Apache

Si vous utilisez Apache 1.3 avec mod_ssl ou Apache 2 ou assimilé (Mac OS X, WAMP, EasyPHP)

Trouvez le fichier de configuration existant pour votre apache. Souvent c'est

/etc/httpd/conf/httpd.conf

mais il n'est pas rare que la configuration du SSL soit dans un autre fichier, par exemple

/etc/httpd/conf/ssl/default-vhost.conf
/etc/httpd/conf/ssl.conf

Ou encore dans un environnement Windows (EasyPHP, Wamp, ...) :

C:/Program Files/Apache Software Foundation/Apache X.X/conf/extra/httpd-ssl.conf
C:/Program Files/Apache Software Foundation/EasyPHP/

N.B.: Attention, certaines configurations d'apache sur windows peuvent poser des erreurs si le(s) chemin(s) d'accès :

possède des caractères spéciaux : espace, parenthèse (), crochets [], accents éàèêîï, ...

le chemin d'accès est trop long ( > 200 caractères)

les fichiers de clef privée, certificats, et chaine de certification ne sont pas accessible en lecture (droits windows) pour l'utilisateur / session qui lance le serveur Apache / httpd.

Si vous n'avez qu'un seul certificat sur cette machine, localisez la section débutant par :

<VirtualHost _default_:443>

et modifiez les instructions suivantes pour pointer vers vos fichiers :

# votre certificat serveur (A)
SSLCertificateFile    /etc/httpd/conf/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/httpd/conf/www.virtualhost.com.key
# configuration du SSL
# 40-bit mini
#SSLCipherSuite !ADH:!DSS:!RC2:RC4-SHA:RC4-MD5:HIGH:MEDIUM:+AES128:+3DES:LOW
# 128-bit mini
SSLCipherSuite !ADH:!DSS:!RC2:RC4-SHA:RC4-MD5:HIGH:MEDIUM:+AES128:+3DES
               
SSLProtocol all -SSLv2
SSLHonorCipherOrder on  # apache 2.1+

Attention: SSLHonorCipherOrder n'est pas disponible sur tous les Apache, voir notre documentation.
Et pour votre chaine de certification (B), ajoutez:

SSLCertificateChainFile /etc/httpd/conf/chain-0000000000-1234.txt 

Pour les très anciens apache, voir SSLCACertificateFile

Si vous utilisez Apache-ssl (ben-SSL)

Trouvez le fichier de configuration existant pour votre apache. Souvent c'est

/etc/httpd/conf/httpd.conf

Modifiez les instructions suivantes pour pointer vers vos fichiers :

# votre certificat serveur (A)
SSLCertificateFile    /etc/httpd/conf/cert-0000000000-1234.cer
# votre clef privée (générée initialement)
SSLCertificateKeyFile /etc/httpd/conf/www.virtualhost.com.key

# configuration des Ciphers acceptables
# 40-bit mini
#SSLRequiredCiphers DHE-RSA-AES128-SHA:AES128-SHA:RC4-SHA:RC4-MD5:RC2-CBC-MD5:RC4-MD5:RC4-64-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EXP-RC2-CBC-MD5:EXP-RC4-MD5:EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA:DES-CBC3-MD5:EDH-RSA-DES-CBC-SHA:DES-CBC-SHA:DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:EXP-DES-CBC-SHA
# 128-bit mini
SSLRequiredCiphers DHE-RSA-AES256-SHA:AES256-SHA:DHE-RSA-AES128-SHA:AES128-SHA:IDEA-CBC-SHA:RC4-SHA:RC4-MD5:EDH-RSA-DES-CBC3-SHA:DES-CBC3-SHA
# configuration des Ciphers interdits
SSLBanCipher NULL-MD5 NULL-SHA

# si vous utiliser une version égale ou supérieure à apache_1.3.29+ssl_1.53
# ajoutez la ligne SSLNoV2 (recommandé pour la sécurité)
SSLNoV2

Et si vous avez un fichier de chaine de certification (B), ajoutez:

SSLCACertificateFile /etc/httpd/conf/chain-0000000000-1234.txt 

3- Relancez Apache et testez

Une fois la configuration en place, relancez le serveur Apache.

service httpd restart
ou
/etc/init.d/apache restart

Vérifiez le log (en cas d'erreur de syntaxe) et testez alors l'accès à votre site sécurisé avec IE 6 et Firefox.

Sur le plates-formes windows (Easy Php, WAMP, ...)

• Vous devez avoir dans la barre des taches un menu "d'administration / gestion" de serveur Apache pour "éteindre" et "allumer" le serveur Apache.
  
• Pensez à vérifier dans les règles de sécurité (Pare-feu / Firewall) que le port HTTPS (443) est bien autorisé / ouvert.
• En cas d'erreurs diverses, le serveur risque de ne plus démarrer. Il faut alors consulter les logs d'erreur: les messages d'erreur peuvent aussi être inscrits dans "l'observateur d'évènements" de windows.

Réglage fin du niveau de chiffrement

• Configurer Apache pour ne fonctionner qu'en 128-bit
• Configurer Apache pour un certificat serveur garanti 128-bit
  

Documentation externe

• Apache 2: http://httpd.apache.org/docs/2.0/ssl/
• Apache 1.3 avec mod_ssl: http://www.modssl.org/
• Apache-ssl (benssl): http://www.apache-ssl.org/
• Apache sous Mac OS X: http://developer.apple.com/internet/serverside/modssl.html

Subcategories:
Answers in this category:

• Installer un certificat pour Apache release 1 OVH (base RH 7.2)
• Apache sous Mac OS X
• ApacheSSL chez NEXEN
• Installer un certificat pour Apache release 2 OVH (base gentoo)