Nextsend SSL
De Hegyd Doc.
Sur demande de Viaduc, il faut générer un CSR sur le serveur Nextsend pour lequel Viaduc renverra un certificat SSL et un certificat intermédiaire à installer sur le serveur et à configurer dans le serveur Apache.
Sommaire |
Procédure de commande d'un nouveau certificat SSL wildcard pour Nextsend
- Nextsend (Yves Ledroit) demande à Viaduc (Marie-T) la commande d'un nouveau certificat. Il doit fournir les information suivantes :
- FQDN (Nom de domaine + sous-domaine) - exemples :
- Si l'application nextsend doit être accessible depuis les adresses depot.domaineduclient.com et transfert.domaineduclient.com, le nom de domaine est domaineduclient.com,
- Si l'application nextsend doit être accessible depuis les adresses depot.sub.domaineduclient.com et transfert.sub.domaineduclient.com, le nom de domaine est sub.domaineduclient.com,
- Raison sociale du client final
- Adresse Postale du client final
- FQDN (Nom de domaine + sous-domaine) - exemples :
- Viaduc demande à Pentasonic la création de la requête de certificat (CSR, voir Nextsend_SSL#Création du CSR) pour le nom de domaine indiqué à l'étape précédente. En lui précisant, la raison sociale et l'addresse postale du client final.
- Pentasonic retourne le contenu de la requête de certificat à Viaduc et l'adresse IP provisionnée pour le certificat SSL
- Viaduc crée le bon de commande du certificat sans le valider et retourne les adresses email d'approbation et l'adresse IP provisionnée à Nextsend
- Nextsend contacte le client final pour choisir l'adresse email d'approbation etretourne l'adresse choisie à Viaduc
- Viaduc configure l'adresse email d'approbation et valide la commande du certificat
- À la réception du certificat, Viaduc retourne le certificat à Pentasonic
- À la réception du certificat, Pentasonic install le certificat sur le serveur et configure l'hôte virtuel Apache adéquat. Il confirme l'installation à Viaduc
- Sur confirmation de Pentasonic, Viaduc confirme l'installation à Nextsend.
Commande d'un nouveau certificat sur Tucows
Configuration d'une nouvelle adresse IP
- Créer une nouveau fichier de configuration d'interface réseau (remplacer les valeurs entre "<>") :
# cat /etc/sysconfig/network-scripts/ifcfg-eth0:<XX> DEVICE=eth0:<XX> ONBOOT=yes BOOTPROTO=static IPADDR=<IPADDR> NETMASK=<NETMASK> BROADCAST=<BROADCAST> NETWORK=<NETWORK>
- Monter la nouvelle IP
ifup eth0:<XX>
Création du CSR
- Sur le serveur Nextsend
mkdir /etc/ssl/<NDD.TLD>-<MMYYYY> openssl genrsa -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key 2048 openssl req -new -sha256 -key /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.key -out /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr
Vérification du CSR :
openssl req -text -noout -in /etc/ssl/<NDD.TLD>-<MMYYYY>/<NDD>.<TLD>.csr
NB : pour un certificat avec un SAN (multiples entrées DNS), suivre la procédure sur le site http://wiki.cacert.org/FAQ/subjectAltName
- Transférer le contenu du CSR à Viaduc
Installation du certificat SSL
Mettre le certificat dans le bon répertoire :
/etc/ssl/<NDD.TLD>-<MMYYYY>/
Configuration du certificat dans Apache
Configurer une nouvelle adresse IP
exemple :
NameVirtualHost 46.105.165.138:443
<VirtualHost 46.105.165.138:443>
ServerAdmin webmaster@netprestation.com
DocumentRoot /var/netprestation/projects/nextsend/v1/www
ServerName transfert.cbre.fr
ServerAlias depot.cbre.fr
ScriptLog logs/cbre.fr-ssl-cgi-error_log
ErrorLog logs/cbre.fr-ssl-error_log
CustomLog logs/cbre.fr-ssl-access_log combined
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateChainFile /etc/ssl/cbre.fr-122012/rapidssl-intermediate_CA.pem
SSLCertificateFile /etc/ssl/cbre.fr-122012/cbre.fr.crt
SSLCertificateKeyFile /etc/ssl/cbre.fr-122012/cbre.fr.key
</VirtualHost>
Activation du vhost : service apache2 reload
JAMAIS DE RESTART HTTP DANS NEXTSEND !!!!
