Gestion des certificats d'origine
Les certificats d'origine sont des certificats TLS gratuits émis par IBM Cloud® Internet Services qui chiffrent le trafic entre votre serveur d'origine et vos utilisateurs. Commandez des certificats TLS gratuits à installer sur votre serveur d'origine.
Les certificats d'origine CIS ne sont valables que pour une utilisation dans CIS.
Commande d'un certificat d'origine
Pour commander un certificat d'origine, fournissez une Demande de signature de certificat (CSR) ou sélectionnez un type de clé privée pour CIS afin de générer une clé et une CSR.
Spécifiez jusqu'à 100 noms d'hôte (y compris les caractères génériques) de votre origine protégée par le certificat. Les caractères génériques ne fournissent qu'un niveau de protection. Utilisez plusieurs caractères génériques sur le même certificat
pour une couverture plus large (par exemple, *.yourdomain.com
et *.yoursubdomain.yourdomain.com
). Les certificats d'origine CIS ne permettent pas d'adresses IP.
Spécifiez le délai d'expiration. Le délai d'expiration du certificat par défaut est de 15 ans ; le délai d'expiration le plus court est de sept jours.
La clé privée n'est disponible immédiatement après la commande d'un certificat que si la clé privée et la CSR ont été générées par CIS.
Installation d'un certificat d'origine sur votre serveur
Apache HTTPD
-
Commandez un certificat d'origine.
-
Copiez la clé privée et le certificat d'origine au format PEM dans des fichiers séparés dans le répertoire de votre serveur où vous conservez vos fichiers de clé et de certificat.
-
Localisez votre fichier de configuration Apache. Généralement, les noms de fichier sont
httpd.conf
ouapache2.conf
et les emplacements sont/etc/httpd/
ou/etc/apache2/
. Toutefois, votre fichier de configuration peut varier, notamment si vous utilisez une interface spéciale pour gérer votre serveur. Consultez la ApacheDistrosDefaultLayout pour obtenir la liste complète des configurations d'installation par défaut. La commande suivante permet de rechercher le fichier de configuration SSL sur linux.grep -i -r "SSLCertificateFile" /etc/httpd/
-
Localisez le bloc
<VirtualHost>
à configurer. Vous pouvez également copier l'hôte virtuel non sécurisé existant pour que votre site soit disponible via HTTP et HTTPS, car chaque type de connexion nécessite un hôte virtuel. -
Configurez le bloc
<VirtualHost>
pour SSL. L'exemple suivant représente une configuration simple pour SSL. Utilisez les noms de fichier de votre certificat et de votre clé privée.SSLCertificateFile
est votre nom de fichier de certificat d'autorité de certification d'origine etSSLCertificateKeyFile
est votre nom de fichier de clé privée d'autorité de certification d'origine.<VirtualHost 192.168.0.1:443> DocumentRoot /var/www/html2 ServerName www.mydomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key </VirtualHost>
-
Testez votre configuration. Avant de redémarrer Apache, vérifiez que vos fichiers de configuration ne comportent aucune erreur. Exécutez la commande suivante pour tester votre configuration.
apachectl configtest
-
Redémarrez Apache. Exécutez les commandes suivantes pour redémarrer Apache avec la prise en charge de SSL.
apachectl stop apachectl start
Si la prise en charge de SSL ne se charge pas avec apache start
, exécutez la commande apachectl startssl
. Si Apache ne prend en charge que SSL en utilisant apachectl startssl
, il est recommandé d'ajuster
la configuration de démarrage d' Apache afin d'inclure la prise en charge de SSL dans la commande apachectl start
. Sinon, si un serveur est réamorcé, vous devrez peut-être redémarrer manuellement Apache avec apachectl startssl
.
Cette réinitialisation implique généralement la suppression des balises « <IfDefine SSL>
» et « </IfDefine SSL>
» qui entourent votre configuration.
NGINX
-
Commandez un certificat d'origine.
-
Copiez la clé privée et le certificat d'origine au format PEM dans des fichiers distincts, dans le répertoire de votre serveur où vous conservez les fichiers de clé et de certificat.
-
Mettez à jour votre fichier d'hôtes virtuels NGINX. Modifiez le fichier d’hôte virtuel NGINX pour votre site Web. L'exemple suivant représente un bloc serveur pour la prise en charge de SSL. Activez le paramètre «
ssl
» sur les sockets d'écoute dans le bloc serveur pour que votre site soit disponible via HTTP et HTTPS.server { listen 80; listen 443; ssl on; ssl_certificate /path/to/your_certificate.pem; ssl_certificate_key /path/to/your_private.key; location / { root /home/www/public_html/yourdomain.com/public/; index index.html; } }
-
Redémarrez NGINX. Exécutez l’une des commandes suivantes pour redémarrer NGINX.
sudo /etc/init.d/nginx restart sudo systemctl restart nginx
Apache Tomcat
-
Commandez un certificat d'origine.
-
Copiez la clé privée et le certificat d'origine au format PKCS #7 (cert.p7b) dans des fichiers distincts, dans le répertoire de votre serveur où vous conservez les fichiers de clé et de certificat.
Vous devez installer le fichier du certificat SSL dans le même keystore et sous le même alias (ou « serveur ») que celui que vous avez utilisé pour générer votre CSR. L'installation à l'étape suivante ne fonctionne pas si le fichier de certificat SSL est installé dans un magasin de clés différent.
-
Installez le certificat. Exécutez la commande suivante pour installer le fichier de certificat SSL sur votre magasin de clés.
keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
Un message de confirmation apparaît : "Certificate reply was installed in keystore." Entrez y or yes si vous êtes invité à faire confiance au certificat. Votre fichier de clés (your_site_name.jks) est maintenant prêt à être utilisé sur votre serveur Tomcat.
-
Configurez votre connecteur SSL. Configurez un connecteur SSL pour que Tomcat puisse accepter les connexions sécurisées.
- Ouvrez le fichier server.xml de Tomcat dans un éditeur de texte. Le fichier server.xml se trouve généralement dans le dossier conf du répertoire de base de Tomcat.
- Identifiez le connecteur à utiliser pour sécuriser le nouveau magasin de clés. Un connecteur avec le port 443 ou 8443 est généralement utilisé.
- Supprimez toutes les balises de commentaire qui pourraient entourer le connecteur.
- Mettez à jour le nom de fichier et le mot de passe du fichier de clés dans la configuration du connecteur.
L'exemple suivant représente un bloc de connecteur SSL configuré.
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks" keystorePass="your_keystore_password" />
Si votre version de Tomcat est antérieure à Tomcat 7, remplacez
keystorePass
parkeypass
. -
Enregistrez votre fichier server.xml.
-
Redémarrez Tomcat.
Microsoft Internet Information Services (IIS) 7.0
-
Créez une demande de signature de certificat (CSR) dans le Gestionnaire des services Internet (IIS) et exportez-la au format
.pem
. Le Gestionnaire des services Internet (IIS) se trouve sous Outils d'administration. -
Commandez un certificat d'origine CIS à l'aide de votre demande CSR.
-
Copiez le certificat d'origine sur le bureau de votre serveur.
-
Ouvrez le Gestionnaire des services Internet (IIS) et sélectionnez le nom d’hôte de votre serveur sous Connexions.
-
Sélectionnez Certificats de serveur dans la section IIS du menu central.
-
Sélectionnez l'action Terminer la demande de certificat dans le menu Actions. Dans la page Indiquer la réponse de l'autorité de certification sous Nom du fichier comportant la réponse de l'autorité de certification, cliquez sur
...
pour rechercher le fichier de certificat.cer
copié sur le bureau, sélectionnez le fichier, puis cliquez sur Ouvrir. -
Entrez un nom convivial pour le certificat. Le nom convivial identifie le certificat.
-
Sélectionnez OK pour terminer l'installation du certificat sur votre serveur.
-
Liez le certificat à votre site Web. Sélectionnez votre site Web en développant Sites sous le nom de votre serveur dans le menu sous Connexions dans le Gestionnaire des services Internet (IIS). Sélectionnez Liaisons sous **Modifier le site ** dans le menu Actions. Sélectionnez Ajouter dans la fenêtre Liaisons de sites et soumettez les informations suivantes.
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
Votre site Web est maintenant configuré pour accepter les connexions sécurisées.
Microsoft Internet Information Services (IIS) 8.0 et 8.5
-
Créez une demande de signature de certificat (CSR) dans le Gestionnaire des services Internet (IIS) et exportez-la au format
.pem
. Le Gestionnaire des services Internet (IIS) se trouve sous Outils d'administration. -
Commandez un certificat d'origine CIS à l'aide de votre demande CSR.
-
Copiez le certificat d'origine sur le bureau de votre serveur.
-
Ouvrez le Gestionnaire des services Internet (IIS) et sélectionnez le nom d’hôte de votre serveur sous Connexions.
-
Sélectionnez Certificats de serveur dans la section IIS du menu central.
-
Sélectionnez l'action Terminer la demande de certificat dans le menu Actions. Dans la page Indiquer la réponse de l'autorité de certification sous Nom du fichier comportant la réponse de l'autorité de certification, cliquez sur
...
pour rechercher le fichier de certificat.cer
copié sur le bureau, sélectionnez le fichier, puis cliquez sur Ouvrir. -
Entrez un nom convivial pour le certificat. Le nom convivial identifie le certificat.
-
Sélectionnez OK pour terminer l'installation du certificat sur votre serveur.
-
Liez le certificat à votre site Web. Sélectionnez votre site Web en développant Sites sous le nom de votre serveur dans le menu sous Connexions dans le Gestionnaire des services Internet (IIS). Sélectionnez Liaisons sous **Modifier le site ** dans le menu Actions. Sélectionnez Ajouter dans la fenêtre Liaisons de sites et soumettez les informations suivantes.
Type https IP Address All Unassigned Port 443 SSL Certificate your_cert_friendly_name
-
Si vous avez plusieurs sites qui utilisent SSL lié à la même adresse IP, vous pouvez configurer votre certificat SSL pour utiliser l'indication du nom du serveur (SNI). Cochez la case Exiger l'indication de nom du serveur.
-
Votre site Web est maintenant configuré pour accepter les connexions sécurisées.
Chaînes de certificats
Dans certains cas, les serveurs Web d'origine nécessitent le téléchargement de la chaîne de certificats. Utilisez ces liens pour télécharger une version ECC ou RSA, puis téléchargez la chaîne de certificats sur votre serveur Web d'origine.
Révocation d'un certificat d'origine
Supprimez votre certificat d'origine CIS. Ce processus ne peut pas être annulé.