Nextsend SSL
De Hegyd Doc.
(Différences entre les versions)
(→Configuration du certificat dans Apache) |
|||
| Ligne 26 : | Ligne 26 : | ||
== Commande d'un nouveau certificat sur Tucows == | == Commande d'un nouveau certificat sur Tucows == | ||
| + | |||
| + | == Configuration d'une nouvelle adresse IP == | ||
| + | * Créer une nouveau fichier de configuration d'interface réseau (remplacer les valeurs entre "<>") : | ||
| + | <pre> | ||
| + | # cat /etc/sysconfig/network-scripts/ifcfg-eth0:<XX> | ||
| + | DEVICE=eth0:<XX> | ||
| + | ONBOOT=yes | ||
| + | BOOTPROTO=static | ||
| + | IPADDR=<IPADDR> | ||
| + | NETMASK=<NETMASK> | ||
| + | BROADCAST=<BROADCAST> | ||
| + | NETWORK=<NETWORK> | ||
| + | </pre> | ||
| + | * Monter la nouvelle IP | ||
| + | <pre>ifup eth0:<XX></pre> | ||
== Création du CSR == | == Création du CSR == | ||
| Ligne 34 : | Ligne 49 : | ||
openssl csr -new -key /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr | openssl csr -new -key /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr | ||
</pre> | </pre> | ||
| - | Transférer le contenu du csr à Viaduc | + | * Transférer le contenu du csr à Viaduc |
== Installation du certificat SSL == | == Installation du certificat SSL == | ||
| - | Mettre dans le bon répertoire : | + | Mettre le certificat dans le bon répertoire : |
/etc/ssl/<NDD.TLD>-<MMYYYY>/ | /etc/ssl/<NDD.TLD>-<MMYYYY>/ | ||
| Ligne 44 : | Ligne 59 : | ||
== Configuration du certificat dans Apache == | == Configuration du certificat dans Apache == | ||
| + | Configurer une nouvelle adresse IP | ||
exemple : | exemple : | ||
Version du 1 mars 2013 à 08:58
Sur demande de Viaduc, il faut générer un CSR sur le serveur Nextsend pour lequel Viaduc renverra un certificat SSL et un certificat intermédiaire à installer sur le serveur et à configurer dans le serveur Apache.
Sommaire |
Procédure de commande d'un nouveau certificat SSL wildcard pour Nextsend
- Nextsend (Yves Ledroit) demande à Viaduc (Marie-T) la commande d'un nouveau certificat. Il doit fournir les information suivantes :
- FQDN (Nom de domaine + sous-domaine) - exemples :
- Si l'application nextsend doit être accessible depuis les adresses depot.domaineduclient.com et transfert.domaineduclient.com, le nom de domaine est domaineduclient.com,
- Si l'application nextsend doit être accessible depuis les adresses depot.sub.domaineduclient.com et transfert.sub.domaineduclient.com, le nom de domaine est sub.domaineduclient.com,
- Raison sociale du client final
- Adresse Postale du client final
- FQDN (Nom de domaine + sous-domaine) - exemples :
- Viaduc demande à Pentasonic la création de la requête de certificat (CSR, voir [Nextsend_SSL#Création du CSR]) pour le nom de domaine indiqué à l'étape précédente. En lui précisant, la raison sociale et l'addresse postale du client final.
- Pentasonic retourne le contenu de la requête de certificat à Viaduc et l'adresse IP provisionnée pour le certificat SSL
- Viaduc crée le bon de commande du certificat sans le valider et retourne les adresses email d'approbation et l'adresse IP provisionnée à Nextsend
- Nextsend contacte le client final pour choisir l'adresse email d'approbation etretourne l'adresse choisie à Viaduc
- Viaduc configure l'adresse email d'approbation et valide la commande du certificat
- À la réception du certificat, Viaduc retourne le certificat à Pentasonic
- À la réception du certificat, Pentasonic install le certificat sur le serveur et configure l'hôte virtuel Apache adéquat. Il confirme l'installation à Viaduc
- Sur confirmation de Pentasonic, Viaduc confirme l'installation à Nextsend.
Commande d'un nouveau certificat sur Tucows
Configuration d'une nouvelle adresse IP
- Créer une nouveau fichier de configuration d'interface réseau (remplacer les valeurs entre "<>") :
# cat /etc/sysconfig/network-scripts/ifcfg-eth0:<XX> DEVICE=eth0:<XX> ONBOOT=yes BOOTPROTO=static IPADDR=<IPADDR> NETMASK=<NETMASK> BROADCAST=<BROADCAST> NETWORK=<NETWORK>
- Monter la nouvelle IP
ifup eth0:<XX>
Création du CSR
- Sur le serveur Nextsend
mkdir /etc/ssl/<NDD.TLD>-<MMYYYY> openssl genrsa -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key 2048 openssl csr -new -key /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr
- Transférer le contenu du csr à Viaduc
Installation du certificat SSL
Mettre le certificat dans le bon répertoire :
/etc/ssl/<NDD.TLD>-<MMYYYY>/
Configuration du certificat dans Apache
Configurer une nouvelle adresse IP
exemple :
NameVirtualHost 46.105.165.138:443
<VirtualHost 46.105.165.138:443>
ServerAdmin webmaster@netprestation.com
DocumentRoot /var/netprestation/projects/nextsend/v1/www
ServerName transfert.cbre.fr
ServerAlias depot.cbre.fr
ScriptLog logs/cbre.fr-ssl-cgi-error_log
ErrorLog logs/cbre.fr-ssl-error_log
CustomLog logs/cbre.fr-ssl-access_log combined
SSLEngine on
SSLProtocol all -SSLv2
SSLCertificateChainFile /etc/ssl/cbre.fr-122012/rapidssl-intermediate_CA.pem
SSLCertificateFile /etc/ssl/cbre.fr-122012/cbre.fr.crt
SSLCertificateKeyFile /etc/ssl/cbre.fr-122012/cbre.fr.key
</VirtualHost>
JAMAIS DE RESTART HTTP DANS NEXTSEND !!!!
