Nextsend SSL

De Hegyd Doc.

Version actuelle en date du 24 septembre 2015 à 15:36

Sur demande de Viaduc, il faut générer un CSR sur le serveur Nextsend pour lequel Viaduc renverra un certificat SSL et un certificat intermédiaire à installer sur le serveur et à configurer dans le serveur Apache.

[modifier] Procédure de commande d'un nouveau certificat SSL wildcard pour Nextsend

• Nextsend (Yves Ledroit) demande à Viaduc (Marie-T) la commande d'un nouveau certificat. Il doit fournir les information suivantes :
  • FQDN (Nom de domaine + sous-domaine) - exemples :
    • Si l'application nextsend doit être accessible depuis les adresses depot.domaineduclient.com et transfert.domaineduclient.com, le nom de domaine est domaineduclient.com,
    • Si l'application nextsend doit être accessible depuis les adresses depot.sub.domaineduclient.com et transfert.sub.domaineduclient.com, le nom de domaine est sub.domaineduclient.com,
  • Raison sociale du client final
  • Adresse Postale du client final

• Viaduc demande à Pentasonic la création de la requête de certificat (CSR, voir Nextsend_SSL#Création du CSR) pour le nom de domaine indiqué à l'étape précédente. En lui précisant, la raison sociale et l'addresse postale du client final.

• Pentasonic retourne le contenu de la requête de certificat à Viaduc et l'adresse IP provisionnée pour le certificat SSL

• Viaduc crée le bon de commande du certificat sans le valider et retourne les adresses email d'approbation et l'adresse IP provisionnée à Nextsend

• Nextsend contacte le client final pour choisir l'adresse email d'approbation etretourne l'adresse choisie à Viaduc

• Viaduc configure l'adresse email d'approbation et valide la commande du certificat

• À la réception du certificat, Viaduc retourne le certificat à Pentasonic

• À la réception du certificat, Pentasonic install le certificat sur le serveur et configure l'hôte virtuel Apache adéquat. Il confirme l'installation à Viaduc

• Sur confirmation de Pentasonic, Viaduc confirme l'installation à Nextsend.

[modifier] Commande d'un nouveau certificat sur Tucows

[modifier] Configuration d'une nouvelle adresse IP

• Créer une nouveau fichier de configuration d'interface réseau (remplacer les valeurs entre "<>") :

# cat /etc/sysconfig/network-scripts/ifcfg-eth0:<XX>
DEVICE=eth0:<XX>
ONBOOT=yes
BOOTPROTO=static
IPADDR=<IPADDR>
NETMASK=<NETMASK>
BROADCAST=<BROADCAST>
NETWORK=<NETWORK>

• Monter la nouvelle IP

ifup eth0:<XX>

[modifier] Création du CSR

• Sur le serveur Nextsend

mkdir /etc/ssl/<NDD.TLD>-<MMYYYY>
openssl genrsa -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key 2048
openssl req -new -sha256 -key /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr

Vérification du CSR :

openssl req -text -noout -in /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr

NB : pour un certificat avec un SAN (multiples entrées DNS), suivre la procédure sur le site http://wiki.cacert.org/FAQ/subjectAltName

• Transférer le contenu du CSR à Viaduc

[modifier] Installation du certificat SSL

Mettre le certificat dans le bon répertoire :

/etc/ssl/<NDD.TLD>-<MMYYYY>/

[modifier] Configuration du certificat dans Apache

Configurer une nouvelle adresse IP

exemple :

NameVirtualHost 46.105.165.138:443
<VirtualHost 46.105.165.138:443>
    ServerAdmin webmaster@netprestation.com
    DocumentRoot /var/netprestation/projects/nextsend/v1/www
    ServerName transfert.cbre.fr
    ServerAlias depot.cbre.fr
    ScriptLog logs/cbre.fr-ssl-cgi-error_log
    ErrorLog logs/cbre.fr-ssl-error_log
    CustomLog logs/cbre.fr-ssl-access_log combined
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCertificateChainFile /etc/ssl/cbre.fr-122012/rapidssl-intermediate_CA.pem
    SSLCertificateFile /etc/ssl/cbre.fr-122012/cbre.fr.crt
    SSLCertificateKeyFile /etc/ssl/cbre.fr-122012/cbre.fr.key
</VirtualHost>

Activation du vhost : service apache2 reload

JAMAIS DE RESTART HTTP DANS NEXTSEND !!!!