IBM Cloud Docs
Gestion des certificats d'origine

Gestion des certificats d'origine

Les certificats d'origine sont des certificats TLS gratuits émis par IBM Cloud® Internet Services qui chiffrent le trafic entre votre serveur d'origine et vos utilisateurs. Commandez des certificats TLS gratuits à installer sur votre serveur d'origine.

Les certificats d'origine CIS ne sont valables que pour une utilisation dans CIS.

Commande d'un certificat d'origine

Pour commander un certificat d'origine, fournissez une Demande de signature de certificat (CSR) ou sélectionnez un type de clé privée pour CIS afin de générer une clé et une CSR.

Spécifiez jusqu'à 100 noms d'hôte (y compris les caractères génériques) de votre origine protégée par le certificat. Les caractères génériques ne fournissent qu'un niveau de protection. Utilisez plusieurs caractères génériques sur le même certificat pour une couverture plus large (par exemple, *.yourdomain.com et *.yoursubdomain.yourdomain.com). Les certificats d'origine CIS ne permettent pas d'adresses IP.

Spécifiez le délai d'expiration. Le délai d'expiration du certificat par défaut est de 15 ans ; le délai d'expiration le plus court est de sept jours.

La clé privée n'est disponible immédiatement après la commande d'un certificat que si la clé privée et la CSR ont été générées par CIS.

Installation d'un certificat d'origine sur votre serveur

Apache HTTPD

  1. Commandez un certificat d'origine.

  2. Copiez la clé privée et le certificat d'origine au format PEM dans des fichiers séparés dans le répertoire de votre serveur où vous conservez vos fichiers de clé et de certificat.

  3. Localisez votre fichier de configuration Apache. Généralement, les noms de fichier sont httpd.conf ou apache2.conf et les emplacements sont /etc/httpd/ ou /etc/apache2/. Toutefois, votre fichier de configuration peut varier, notamment si vous utilisez une interface spéciale pour gérer votre serveur. Consultez la ApacheDistrosDefaultLayout pour obtenir la liste complète des configurations d'installation par défaut. La commande suivante permet de rechercher le fichier de configuration SSL sur linux.

    grep -i -r "SSLCertificateFile" /etc/httpd/
    
  4. Localisez le bloc <VirtualHost> à configurer. Vous pouvez également copier l'hôte virtuel non sécurisé existant pour que votre site soit disponible via HTTP et HTTPS, car chaque type de connexion nécessite un hôte virtuel.

  5. Configurez le bloc <VirtualHost> pour SSL. L'exemple suivant représente une configuration simple pour SSL. Utilisez les noms de fichier de votre certificat et de votre clé privée. SSLCertificateFile est votre nom de fichier de certificat d'autorité de certification d'origine et SSLCertificateKeyFile est votre nom de fichier de clé privée d'autorité de certification d'origine.

    <VirtualHost 192.168.0.1:443>
      DocumentRoot             /var/www/html2
      ServerName               www.mydomain.com
      SSLEngine                on
      SSLCertificateFile       /path/to/your_domain_name.crt
      SSLCertificateKeyFile    /path/to/your_private.key
    </VirtualHost>
    
  6. Testez votre configuration. Avant de redémarrer Apache, vérifiez que vos fichiers de configuration ne comportent aucune erreur. Exécutez la commande suivante pour tester votre configuration.

    apachectl configtest
    
  7. Redémarrez Apache. Exécutez les commandes suivantes pour redémarrer Apache avec la prise en charge de SSL.

    apachectl stop
    apachectl start
    

Si la prise en charge de SSL ne se charge pas avec apache start, exécutez la commande apachectl startssl. Si Apache ne prend en charge que SSL en utilisant apachectl startssl, il est recommandé d'ajuster la configuration de démarrage d' Apache afin d'inclure la prise en charge de SSL dans la commande apachectl start. Sinon, si un serveur est réamorcé, vous devrez peut-être redémarrer manuellement Apache avec apachectl startssl. Cette réinitialisation implique généralement la suppression des balises « <IfDefine SSL> » et « </IfDefine SSL> » qui entourent votre configuration.

NGINX

  1. Commandez un certificat d'origine.

  2. Copiez la clé privée et le certificat d'origine au format PEM dans des fichiers distincts, dans le répertoire de votre serveur où vous conservez les fichiers de clé et de certificat.

  3. Mettez à jour votre fichier d'hôtes virtuels NGINX. Modifiez le fichier d’hôte virtuel NGINX pour votre site Web. L'exemple suivant représente un bloc serveur pour la prise en charge de SSL. Activez le paramètre « ssl » sur les sockets d'écoute dans le bloc serveur pour que votre site soit disponible via HTTP et HTTPS.

    server {
      listen    80;
      listen    443;
    
      ssl       on;
      ssl_certificate         /path/to/your_certificate.pem;
      ssl_certificate_key     /path/to/your_private.key;
      location / {
        root    /home/www/public_html/yourdomain.com/public/;
        index   index.html;
      }
    }
    
  4. Redémarrez NGINX. Exécutez l’une des commandes suivantes pour redémarrer NGINX.

    sudo /etc/init.d/nginx restart
    sudo systemctl restart nginx
    

Apache Tomcat

  1. Commandez un certificat d'origine.

  2. Copiez la clé privée et le certificat d'origine au format PKCS #7 (cert.p7b) dans des fichiers distincts, dans le répertoire de votre serveur où vous conservez les fichiers de clé et de certificat.

    Vous devez installer le fichier du certificat SSL dans le même keystore et sous le même alias (ou « serveur ») que celui que vous avez utilisé pour générer votre CSR. L'installation à l'étape suivante ne fonctionne pas si le fichier de certificat SSL est installé dans un magasin de clés différent.

  3. Installez le certificat. Exécutez la commande suivante pour installer le fichier de certificat SSL sur votre magasin de clés.

    keytool -import -trustcacerts -alias server -file cert.p7b -keystore your_site_name.jks
    

    Un message de confirmation apparaît : "Certificate reply was installed in keystore." Entrez y or yes si vous êtes invité à faire confiance au certificat. Votre fichier de clés (your_site_name.jks) est maintenant prêt à être utilisé sur votre serveur Tomcat.

  4. Configurez votre connecteur SSL. Configurez un connecteur SSL pour que Tomcat puisse accepter les connexions sécurisées.

    1. Ouvrez le fichier server.xml de Tomcat dans un éditeur de texte. Le fichier server.xml se trouve généralement dans le dossier conf du répertoire de base de Tomcat.
    2. Identifiez le connecteur à utiliser pour sécuriser le nouveau magasin de clés. Un connecteur avec le port 443 ou 8443 est généralement utilisé.
    3. Supprimez toutes les balises de commentaire qui pourraient entourer le connecteur.
    4. Mettez à jour le nom de fichier et le mot de passe du fichier de clés dans la configuration du connecteur.

    L'exemple suivant représente un bloc de connecteur SSL configuré.

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
    minSpareThreads="25" maxSpareThreads="75" enableLookups="false"
    disableUploadTimeout="true" acceptCount="100" scheme="https"
    secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS"
    keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks"
    keystorePass="your_keystore_password" />
    

    Si votre version de Tomcat est antérieure à Tomcat 7, remplacez keystorePass par keypass.

  5. Enregistrez votre fichier server.xml.

  6. Redémarrez Tomcat.

Microsoft Internet Information Services (IIS) 7.0

  1. Créez une demande de signature de certificat (CSR) dans le Gestionnaire des services Internet (IIS) et exportez-la au format .pem. Le Gestionnaire des services Internet (IIS) se trouve sous Outils d'administration.

  2. Commandez un certificat d'origine CIS à l'aide de votre demande CSR.

  3. Copiez le certificat d'origine sur le bureau de votre serveur.

  4. Ouvrez le Gestionnaire des services Internet (IIS) et sélectionnez le nom d’hôte de votre serveur sous Connexions.

  5. Sélectionnez Certificats de serveur dans la section IIS du menu central.

  6. Sélectionnez l'action Terminer la demande de certificat dans le menu Actions. Dans la page Indiquer la réponse de l'autorité de certification sous Nom du fichier comportant la réponse de l'autorité de certification, cliquez sur ... pour rechercher le fichier de certificat .cer copié sur le bureau, sélectionnez le fichier, puis cliquez sur Ouvrir.

  7. Entrez un nom convivial pour le certificat. Le nom convivial identifie le certificat.

  8. Sélectionnez OK pour terminer l'installation du certificat sur votre serveur.

  9. Liez le certificat à votre site Web. Sélectionnez votre site Web en développant Sites sous le nom de votre serveur dans le menu sous Connexions dans le Gestionnaire des services Internet (IIS). Sélectionnez Liaisons sous **Modifier le site ** dans le menu Actions. Sélectionnez Ajouter dans la fenêtre Liaisons de sites et soumettez les informations suivantes.

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. Votre site Web est maintenant configuré pour accepter les connexions sécurisées.

Microsoft Internet Information Services (IIS) 8.0 et 8.5

  1. Créez une demande de signature de certificat (CSR) dans le Gestionnaire des services Internet (IIS) et exportez-la au format .pem. Le Gestionnaire des services Internet (IIS) se trouve sous Outils d'administration.

  2. Commandez un certificat d'origine CIS à l'aide de votre demande CSR.

  3. Copiez le certificat d'origine sur le bureau de votre serveur.

  4. Ouvrez le Gestionnaire des services Internet (IIS) et sélectionnez le nom d’hôte de votre serveur sous Connexions.

  5. Sélectionnez Certificats de serveur dans la section IIS du menu central.

  6. Sélectionnez l'action Terminer la demande de certificat dans le menu Actions. Dans la page Indiquer la réponse de l'autorité de certification sous Nom du fichier comportant la réponse de l'autorité de certification, cliquez sur ... pour rechercher le fichier de certificat .cer copié sur le bureau, sélectionnez le fichier, puis cliquez sur Ouvrir.

  7. Entrez un nom convivial pour le certificat. Le nom convivial identifie le certificat.

  8. Sélectionnez OK pour terminer l'installation du certificat sur votre serveur.

  9. Liez le certificat à votre site Web. Sélectionnez votre site Web en développant Sites sous le nom de votre serveur dans le menu sous Connexions dans le Gestionnaire des services Internet (IIS). Sélectionnez Liaisons sous **Modifier le site ** dans le menu Actions. Sélectionnez Ajouter dans la fenêtre Liaisons de sites et soumettez les informations suivantes.

    Type              https
    IP Address        All Unassigned
    Port              443
    SSL Certificate   your_cert_friendly_name
    
  10. Si vous avez plusieurs sites qui utilisent SSL lié à la même adresse IP, vous pouvez configurer votre certificat SSL pour utiliser l'indication du nom du serveur (SNI). Cochez la case Exiger l'indication de nom du serveur.

  11. Votre site Web est maintenant configuré pour accepter les connexions sécurisées.

Chaînes de certificats

Dans certains cas, les serveurs Web d'origine nécessitent le téléchargement de la chaîne de certificats. Utilisez ces liens pour télécharger une version ECC ou RSA, puis téléchargez la chaîne de certificats sur votre serveur Web d'origine.

Révocation d'un certificat d'origine

Supprimez votre certificat d'origine CIS. Ce processus ne peut pas être annulé.