Chapitre 11. Obtention d'un certificat pour votre serveur sécurisé
Ce chapitre vous guide dans le processus de sécurisation de votre serveur par l'obtention et l'installation d'un certificat.
Pour faire en sorte que vos clients se sentent en sécurité lorsqu'ils traitent avec vous sur le Web, il faut que votre serveur Web soit sécurisé. Les serveurs sécurisés utilisent le protocole Secure Sockets Layer (SSL) qui crypte les données échangées entre le navigateur et le serveur. Lorsque le navigateur communique à l'aide du protocole SSL, le préfixe https: s'inscrit avant l'URL, dans la barre de navigation.
Les clients se sentent plus à l'aise lorsqu'ils effectuent des achats à partir de sites Web s'ils savent que leurs transactions sont sécurisées, mais les serveurs sécurisés ne sont pas uniquement utilisés pour le commerce électronique. Un serveur sécurisé peut également être utilisé pour transmettre des données sensibles, telles que le chiffre d'affaires, à des délégués commerciaux en déplacement ou à des partenaires commerciaux sur Internet.
Un serveur sécurisé utilise un certificat pour s'identifier auprès des navigateurs Web. Vous pouvez générer votre propre certificat (appelé certificat "autographe") ou obtenir un certificat auprès d'une autorité certificatrice (ou CA). Un certificat émis par une CA connue garantit qu'un site Web est associé à une société ou une organisation particulière.
Si vous destinez le serveur au commerce électronique, il est utile d'acquérir un certificat auprès d'une CA. Un certificat délivré par une autorité certificatrice offre deux avantages : les explorateurs le reconnaissent (généralement) automatiquement et la CA garantit l'identité de l'organisation responsable du site Web. Les certificats autographes ne sont pas automatiquement acceptés par le navigateur d'un utilisateur — l'utilisateur est invité par le navigateur, s'il le souhaite, à accepter le certificat et à créer la connexion sécurisée.
En utilisant un certificat signé par une CA, vous garantissez l'identité de l'organisation exploitant le serveur. Par exemple, si le certificat indique que le site Web est celui de Red Hat et si l'utilisateur fait confiance à la CA, il n'y a aucune raison de douter que certains fichiers ou programmes téléchargés sur ce site proviennent réellement de Red Hat.
La première étape consiste à créer une paire clé publique/clé privée. Ensuite, vous devez créer une demande de certificat (CSR) à envoyer à la CA ou créer votre propre certificat autographe. Ce chapitre contient des instructions sur la manière d'obtenir des certificats signés de VeriSign (http://www.verisign.com ou http://www.verisign.com/offer/redhat/ pour une ristourne faite par VeriSign aux clients de Red Hat) et Thawte (http://www.thawte.com), et sur la manière de générer votre propre certificat.
 | Remarque |
|---|---|
Vous pouvez obtenir des certificats signés auprès de la CA de votre choix, et pas seulement de celles mentionnées dans ce manuel. Toutefois, VeriSign offre une réduction sur les certificats aux clients de Red Hat. Consultez la page http://www.verisign.com/offer/redhat pour plus de détails sur la réduction offerte par VeriSign. |
Une fois que vous disposez d'un certificat autographe ou d'un certificat signé par une CA de votre choix, voyez comment l'installer dans le Red Hat Linux Secure Web Server.
Utilisation de clés et certificats existants
Si vous disposez déjà d'une clé et d'un certificat existants (par exemple, si vous installez Red Hat Linux Secure Web Server pour remplacer un produit serveur Web sécurisé d'une autre société), vous serez probablement en mesure d'utiliser vos clés et certificat existants avec Red Hat Linux Secure Web Server. Dans les deux situations suivantes, vous ne serez pas en mesure d'utiliser votre clé et votre certificat :
Si vous modifiez votre adresse IP ou votre nom de domaine.
Si vous disposez d'un certificat émis par VeriSign et modifiez le logiciel du serveur.
Vous ne pouvez pas utiliser vos anciens certificat et clé si vous modifiez votre adresse IP ou votre nom de domaine. Les certificats sont émis pour une paire adresse IP/nom de domaine particulière. Vous devrez obtenir un nouveau certificat si vous modifiez votre adresse IP ou votre nom de domaine.
VeriSign est une CA très utilisée. Si vous disposez déjà d'un certificat VeriSign destiné à une autre fin, vous avez peut-être envisagé d'utiliser votre certificat VeriSign existant avec votre nouveau Red Hat Linux Secure Web Server. Toutefois, vous n'y serez pas autorisé du fait que VeriSign émet des certificats pour un logiciel serveur et une combinaison adresse IP/nom de domaine particuliers.
Si vous modifiez l'un de ces paramètres (par exemple, si vous avez précédemment utilisé un autre produit de serveur Web sécurisé et souhaitez à présent utiliser Red Hat Linux Secure Web Server), le certificat VeriSign que vous avez obtenu en vue de son utilisation avec la configuration précédente ne fonctionnera pas avec la nouvelle configuration. Vous devrez vous procurer un nouveau certificat.
Si vous disposez d'une clé et d'un certificat existants que vous pouvez utiliser, vous ne devrez pas suivre les instructions du Chapitre 11. Vous ne devez pas déplacer et renommer les fichiers contenant vos clé et certificat.
Déplacez votre fichier de clé existant vers :
/etc/httpd/conf/ssl.key/server.key |
Déplacez votre fichier de certificat existant vers :
/etc/httpd/conf/ssl.crt/server.crt |
Après avoir déplacé vos clé et certificat, passez à la la section intitulée Test de votre certificat.
Si vous mettez à jour Red Hat Secure Web Server version 1.0 et 2.0, votre ancienne clé (httpsd.key ) et votre ancien certificat (httpsd.crt) seront situés dans /etc/httpd/conf/. Vous devrez déplacer et renommer vos clé et certificat, de sorte que le Red Hat Linux Secure Web Server puisse les utiliser. Utilisez les deux commandes suivantes pour déplacer et renommer vos fichiers de clé et de certificat :
mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt |
Lancez ensuite le Red Hat Linux Secure Web Server de la manière décrite à la la section intitulée Démarrage et arrêt d'Apache. Vous n'avez pas besoin d'un nouveau certificat si vous mettez à jour une version précédente du Red Hat Linux Secure Web Server.