Installer un certificat pour Nginx
Génération de clé privée et de CSR
Vous pouvez suivre notre documentation de génération de clé privée et de CSR pour Openssl.
Installation de certificat
L'installation est pratiquement similaire à Apache 2.4.8+ (Installer un certificat Apache), mais les instructions changent.
- Téléchargez votre certificat et la chaine de certification associée au format PEM :
Accédez à la page statut de votre certificat chez TBS CERTIFICATS (cf Espace client ou mél de livraison), puis cliquez sur le bouton "Voir le certificat".
Sélectionnez "Voir le certificat au format X509 avec chaine" pour télécharger le fichier pem-XXXXXXXXXX-XXXXXXX.pem - Configurez votre nginx avec :
server { listen 443; server_name www.exemple.fr; ssl on; ssl_certificate \chemin\vers\pem-XXXXXXXXXX-XXXXXXX.pem; ssl_certificate_key \chemin\vers\votre_clé_privée.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDH+AESGCM:ECDH+AES256-CBC:ECDH+AES128-CBC:DH+3DES:!ADH:!AECDH:!MD5; ssl_prefer_server_ciphers on; ssl_ecdh_curve secp384r1; #courbe ECDH ... }
Si vous rencontrez sur Google Chrome ce type de message, "Ce site utilise une configuration de sécurité faible (signatures SHA-1). Il est donc possible que votre connexion ne soit pas privée." , vérifiez votre configuration ssl_ciphers ou ssl_protocols.
Si vous rencontrez des problèmes de compatibilité avec votre navigateur, vous pouvez tenter d'utiliser cette valeur de ssl_ciphers : ssl_ciphers !EDH:!RC4:!ADH:!DSS:HIGH:+AES128:+AES256-SHA256:+AES128-SHA256:+SHA:+3DES!NULL:!aNULL:!eNULL;
Recommandations de sécurité
- Nous vous recommandons de générer des groupes dh forts et uniques à votre machine afin
d'accroitre sa sécurité.
Pour cela, lancez la ligne de commande suivante et placez son résultat dans un dossier accessible par le serveur web :
openssl dhparam -out dhparams.pem 2048
Ajoutez ensuite la ligne suivante à votre configuration:
ssl_dhparam /chemin/vers/votre/dhparams.pem;
- Nous vous recommandons de choisir une courbe elliptique forte pour l'échange de clé ECDH en ajoutant la ligne suivante:
ssl_ecdh_curve secp384r1;
- Activez l'OCSP Stappling sur nginx pour améliorer les temps d'accès à votre site tout améliorant sa sécurité.
- Activez le support HSTS pour protéger vos utilisateurs des attaques de type Man in the Middle.
add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;
Remarques
- Si vous souhaitez permettre la reprise de session, il convient de configurer
une durée de session et un timeout au niveau du serveur. Pour cela, ajoutez ces lignes
à votre configuration globale :
ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
Liens utiles
Dernière modification le 25/11/2020 15:21:28 --- [Chercher]