Base de connaissances : Certificats SSL/TLS

Bonjour,

 Les Aquelia utilisent en frontal un proxy qui protège apache des attaques basiques et gère le SSL/TLS. Si vous désirez rediriger toutes les demandes vers du https voici ce que vous devez utiliser dans vos .htaccess:


<ifModule mod_rewrite.c>
    RewriteEngine On
    # empeche de perturber letsencrypt
    RewriteRule ^.well-known/ - [L,NC]
    # force le https
    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

A affiner suivant vos besoins.

Vous pouvez aussi ajouter a apache la config suivante si haproxy est devant:


<IfModule mod_setenvif.c>
        SetEnvIf X-Forwarded-Proto "https" HTTPS=on
</IfModule>

Cordialement,

AQUEOS.

Comment creer un CSR:

openssl genrsa -out www.mydomain.com.key 2048
openssl req -new -key www.mydomain.com.key -out www.mydomain.com.csr


openssl genrsa -out /etc/ssl/private.daemon/`hostname -f`.key` 2048
openssl req -new -key /etc/ssl/private.daemon/`hostname -f`.key` -out /etc/ssl/private.daemon/www.mydomain.com.csr

Le domaine est le "common name".

Pour lire un csr:

openssl req -text -noout -in hostcsr.pem

Pour lire un cert:
openssl x509 -text -noout -in hostcert.pem


Installation apache:

SSLEngine on
SSLCertificateFile       /etc/ssl/certs/your_domain_name.crt
SSLCertificateKeyFile    /etc/ssl/private//your_private.key
SSLCertificateChainFile  /etc/ssl/certs/DigiCertCA.crt


La confirmation de certificat Geotrust est en anglais et viens de l'email sslorders@geotrust.com, le lien a cliqué est de la forme:

 https://products.geotrust.com/orders/A.do?p=xxxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxx étant l'id de la commande, il suffit de cliquer sur le lien puis de valider.

Les adresses qui peuvent recevoir cet email sont:

admin@yourdomain.com,
administrator@yourdomain.com,
hostmaster@yourdomain.com,
postmaster@yourdomain.com,
ou
webmaster@yourdomain.com


un d'elle au choix, vous pouvez soit vérifier celle-ci pour l'arrivée de l'email, soit rediriger vers ssl@aqueos.com afin que nous prenions tout en charge.

Nous conseillons admin@xxxx car c'est le plus standard et utilisé par nos clients.