From: Lucien Gentis Cette directive permet de définir le fichier de données contenant
les informations de certificat
X.509 du serveur codées au format PEM. Ce fichier doit contenir
-au minimum un certificat d'entité finale (feuille). Depuis la version
-2.4.8, il peut aussi contenir des certificats de CA
-intermédiaires triés des feuilles à la racine, ainsi que des
- Des éléments additionnels peuvent être présents, comme des paramètres
-DH et/ou le nom EC curve pour les clés ephémères, respectivement générés
-par
-Cette directive peut être utilisée plusieurs fois pour référencer
-différents noms de fichiers, afin de supporter plusieurs algorithmes
-pour l'authentification du serveur - en général RSA, DSA et ECC. Le
-nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée
-pour mod_ssl : à partir de la version 1.0.0, la commande Les fichiers peuvent aussi contenir des certificats de CA
+intermédiaires triés depuis la feuille vers la racine. Cette
+fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP
+Apache, et rend obsolète la directive Depuis la version 2.4.7 du serveur HTTP Apache, on peut aussi ajouter
+des paramètres DH personnalisés et un nom EC
+curve pour les clés éphémères à la fin du premier fichier défini par la
+directive
-A partir de la version 1.0.2 d'OpenSSL, cette directive permet de
-configurer la chaîne de certification en fonction du certificat, ce qui
-supprime une limitation de la directive obsolète Enfin, il est aussi possible d'ajouter la clé privée du certificat de
+l'entité finale au fichier de certificat, ce qui permet de se passer
+d'une directive Cette directive permet de définir le fichier contenant la clé privée du
-serveur codée en PEM (la clé privée peut être associée au certificat
-dans le fichier défini par la directive
-Description: Chiffrement de haut niveau basé sur les protocoles Secure
Sockets Layer (SSL) et Transport Layer Security (TLS)
@@ -657,36 +655,44 @@ PEM
Statut: Extension SSLCertificateChainFile
-(obsolètes).
+au minimum un certificat d'entité finale (feuille).
+La directive peut être utilisée plusieurs fois (elle référence des
+fichiers différents) pour accepter plusieurs algorithmes
+d'authentification au niveau du serveur - souvent RSA, DSA et ECC. Le
+nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée
+avec mod_ssl : à partir de la version 1.0.0, la commande openssl
+list-public-key-algorithms
affiche la liste des algorithmes
+supportés.
openssl dhparam
et openssl ecparam
-(supporté à partir de la version 2.4.7), et
-enfin la clé privée du certificat d'entité finale. Si la clé privée est
-chiffrée, une boîte de dialogue demandant le mot de passe s'ouvre au
-démarrage.openssl
-list-public-key-algorithms
renvoie la liste de ces algorithmes.SSLCertificateChainFile
. A partir de la
+version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne
+de certification en fonction du certificat.SSLCertificateFile
.
+Ces paramètres peuvent être générés avec les commandes openssl
+dhparam
et openssl ecparam
, et ils peuvent être
+ajoutés tel quel à la fin du premier fichier de certificat. En effet,
+seul le premier fichier de certificat défini peut être utilisé pour
+enregistrer des paramètres personnalisés, car ces derniers s'appliquent
+indépendamment de l'algorithme d'authentification utilisé.
+SSLCertificateChainFile
. Cependant, les
-paramètres DH et ECDH ne sont lus que depuis la première directive
-SSLCertificateFile
car ils s'appliquent
-indépendamment du type d'algorithme d'authentification.SSLCertificateKeyFile
séparée. Cette
+pratique est cependant fortement déconseillée. En effet, les fichiers de
+certificats qui contiennent de tels clés embarquées doivent être définis
+avant les certificats en utilisant un fichier de clé séparé. En outre,
+si la clé est chiffrée, une boîte de dialogue pour entrer le mot de
+passe de la clé s'ouvre au démarrage du serveur.
+Interopérabilité des paramètres DH avec les nombres premiers de
@@ -719,10 +725,7 @@ PEM
Module: mod_ssl SSLCertificateFile
, mais cette pratique est
-déconseillée). Si la clé privée est
+serveur codée en PEM. Si la clé privée est
chiffrée, une boîte de dialogue demandant le mot de passe s'ouvre au
démarrage.SSLCertificateKeyFile
doit être associée
une directive SSLCertificateFile
correspondante.
+La clé privé peut aussi être ajoutée au fichier défini par la directive
+SSLCertificateFile
, mais cette
+pratique est fortement déconseillée. En effet, les fichiers de
+certificats qui comportent une telle clé doivent être définis après les
+certificats en utilisant un fichier de clé séparé.
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.key/server.key"
Le sage n'apporte pas de bonnes réponses, il pose les bonnes questions
@@ -829,22 +827,23 @@ de 1024 bits ? des erreurs (avec unLogLevel
info
ou supérieur), vous pouvez soit réarranger la liste d'algorithmes de mod_ssl via la directiveSSLCipherSuite
(éventuellement en - conjonction avec la directiveSSLHonorCipherOrder
), soit utiliser la - directiveSSLCertificateFile
- pour configurer des paramètres DH personnalisés avec un nombre + conjonction avec la directiveSSLHonorCipherOrder
), soit utiliser des + paramètres DH personnalisés avec un nombre premier de 1024 bits, paramètres qui seront toujours prioritaires par rapport à tout autre paramètre DH par défaut.Pour générer des paramètres DH personnalisés, utilisez la - commande
+ commandeopenssl dhparam
. Vous pouvez aussi ajouter les - paramètres DH standards issus de la RFC 2409, section 6.2 - au fichierSSLCertificateFile
- considéré :openssl dhparam 1024
. Vous pouvez aussi + utiliser les + paramètres DH standards issus de la RFC 2409, section 6.2 :+-----BEGIN DH PARAMETERS----- MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL /1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC -----END DH PARAMETERS-----Ajoute les paramètres personnalisés incluant les lignes "BEGIN DH + PARAMETERS" et "END DH PARAMETERS" à la fin du premier fichier de + certificat défini via la directive
diff --git a/docs/manual/ssl/ssl_faq.xml.meta b/docs/manual/ssl/ssl_faq.xml.meta index a5d5a97804..61db826966 100644 --- a/docs/manual/ssl/ssl_faq.xml.meta +++ b/docs/manual/ssl/ssl_faq.xml.meta @@ -8,6 +8,6 @@SSLCertificateFile
.diff --git a/docs/manual/upgrading.html.fr b/docs/manual/upgrading.html.fr index 7793829c47..ad36c42d5f 100644 --- a/docs/manual/upgrading.html.fr +++ b/docs/manual/upgrading.html.fr @@ -26,8 +26,6 @@ - en -fr +fr Cette traduction peut être périmée. Vérifiez la version - anglaise pour les changements récents.Afin d'assister les utilisateurs lors de leurs opérations de mise à jour, nous maintenons un document @@ -282,6 +280,13 @@ Allow from example.org configuration de la directive
LogLevel
au niveau répertoire. ++ mod_proxy_scgi
: certaines applications web + ne fonctionneront plus correctement avec la nouvelle + configuration dePATH_INFO
qui est différente de + celle de la version 2.2. La configuration précédente peut être + restaurée en définissant la variable +proxy-scgi-pathinfo
.mod_ssl
: le contrôle de révocation des certificats basé sur les CRL doit être maintenant explicitement configuré via la directiveSSLCARevocationCheck
. diff --git a/docs/manual/upgrading.xml.meta b/docs/manual/upgrading.xml.meta index 1d2a68a225..aba29996bb 100644 --- a/docs/manual/upgrading.xml.meta +++ b/docs/manual/upgrading.xml.meta @@ -8,6 +8,6 @@en -fr +fr