Ce document doit vous permettre de démarrer et de faire fonctionner une configuration de base. Avant de vous lancer dans l'application de techniques avancées, il est fortement recommandé de lire le reste de la documentation SSL afin d'en comprendre le fonctionnement de manière plus approfondie.
Votre configuration SSL doit comporter au moins les directives suivantes :
Les directives suivantes ne permettent que les chiffrements de plus haut niveau :
Avec la configuration qui suit, vous indiquez une préférence pour des algorityhmes de chiffrement spécifiques optimisés en matière de rapidité (le choix final sera opéré par mod_ssl, dans la mesure ou le client les supporte) :
Dans ce cas bien évidemment, une directive Location
qui permettent
d'adapter la configuration générale à un répertoire spécifique ;
Lorsque vous connaissez tous vos clients (comme c'est en général le cas
au sein d'un intranet d'entreprise), vous pouvez imposer une
authentification basée uniquement sur les certificats. Tout ce dont vous
avez besoin pour y parvenir est de créer des certificats clients signés par
le certificat de votre propre autorité de certification
(ca.crt
), et d'authentifier les clients à l'aide de ces
certificats.
Pour forcer les clients à s'authentifier à l'aide de certificats pour une
URL particulière, vous pouvez utiliser les fonctionnalités de reconfiguration
de
La clé du problème consiste à vérifier si une partie du certificat
client correspond à ce que vous attendez. Cela signifie en général
consulter tout ou partie du nom distinctif (DN), afin de vérifier s'il
contient une chaîne connue. Il existe deux méthodes pour y parvenir ;
on utilise soit le module
La méthode du module
Le mot de passe utilisé dans cet exemple correspond à la chaîne de
caractères "password" chiffrée en DES. Voir la documentation de la
directive
/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA /C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA /C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA
Lorsque vos clients font tous partie d'une même hiérarchie, ce qui
apparaît dans le DN, vous pouvez les authentifier plus facilement en
utilisant la directive
On suppose dans ces exemples que les clients de l'intranet ont des
adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
à laquelle vous voulez autoriser l'accès depuis l'Internet est
/usr/local/apache2/htdocs/subarea
. Ces lignes de configuration
doivent se trouver en dehors de votre hôte virtuel HTTPS, afin qu'elles
s'appliquent à la fois à HTTP et HTTPS.
info
sera probablement déjà trop
élevé. Souvenez-vous que vous pouvez configurer la directive