Chapitre 3. Sécurisation du serveur
Pour faire en sorte que vos clients se sentent en sécurité lorsqu'ils traitent avec vous sur le Web, il faut que votre serveur Web soit sécurisé. Les serveurs sécurisés utilisent le protocole Secure Sockets Layer (SSL) qui crypte les données échangées entre le navigateur et le serveur. Lorsque le navigateur communique à l'aide du protocole SSL, le préfixe https: s'inscrit devant l'adresse URL dans la barre de navigation.
Un serveur sécurisé utilise un certificat pour identifier un site Web auprès des navigateurs Web. Un certificat est fourni par une tierce partie de confiance (autorité certificatrice ou CA). Un certificat émis par une CA connue garantit qu'un site Web est associé à une société ou une organisation particulière. Vous devez installer soit un certificat de test, soit un certificat signé par une CA avant d'exécuter votre serveur Web sécurisé.
Les clients se sentent plus à l'aise lorsqu'ils effectuent des achats à partir de sites Web s'ils savent que leurs transactions sont sécurisées, mais les serveurs sécurisés ne sont pas uniquement utilisés pour le commerce électronique. Un serveur sécurisé peut également être utilisé pour transmettre des données sensibles, telles que le chiffre d'affaires, à des délégués commerciaux en déplacement ou à des partenaires commerciaux sur Internet.
Ce chapitre vous guidera à travers le processus de sécurisation de votre serveur.
Tout d'abord, vous devez créer une paire de clés publique et privée, que vous utiliserez ensuite pour créer une demande de certificat. Vous devrez ensuite obtenir un certificat signé par une CA. Ce chapitre contient des instructions sur la manière d'obtenir des certificats de test et signés émis par VeriSign (http://www.verisign.com) et Thawte (http://www.thawte.com).
 | Remarque |
|---|---|
Vous pouvez obtenir des certificats de test et signés auprès d'une CA de votre choix et pas seulement de celles mentionnées dans ce guide. |
Une fois que vous disposez d'un certificat signé de la CA de votre choix, vous allez apprendre à l'installer sur Red Hat Linux Secure Server.
En utilisant un certificat signé, vous garantissez l'identité de l'organisation exécutant le serveur. Par exemple, si le certificat indique que le site Web est celui de Red Hat et si l'utilisateur fait confiance à la CA, il n'y a aucune raison de douter que certains fichiers ou programmes téléchargés sur ce site proviennent réellement de Red Hat.
Utilisation des clés et certificats existants
Si vous disposez déjà d'une clé et d'un certificat existants (par exemple, si vous installez Red Hat Linux Secure Server pour remplacer un produit serveur Web sécurisé d'une autre société), vous serez probablement en mesure d'utiliser vos clé et certificat existants avec Red Hat Linux Secure Server. Toutefois, il y a deux circonstances connues dans lesquelles vous ne serez pas en mesure d'utiliser votre clé et votre certificat existants. Premièrement, vous ne pouvez pas utiliser la clé et le certificat existants si vous modifiez votre adresse IP ou nom de domaine. Deuxièmement, vous ne pouvez pas utiliser la clé et le certificat existants si vous disposez d'un certificat émis par VeriSign et modifiez votre logiciel serveur.
Vous ne pouvez pas utiliser vos anciens certificat et clé si vous modifiez votre adresse IP ou votre nom de domaine. Les certificats sont émis pour une paire adresse IP/nom de domaine particulière. Vous devrez obtenir un nouveau certificat si vous modifiez votre adresse IP ou votre nom de domaine.
VeriSign est une CA très largement utilisée. Si vous disposez déjà d'un certificat VeriSign destiné à une autre fin, vous avez peut-être envisagé d'utiliser votre certificat VeriSign existant avec votre nouveau Red Hat Linux Secure Server. Toutefois, vous n'y serez pas autorisé du fait que VeriSign émet des certificats pour un logiciel serveur et une combinaison adresse IP/nom de domaine particuliers.
Si vous modifiez l'un de ces paramètres (par exemple, si vous avez précédemment utilisé un autre produit de serveur Web sécurisé et souhaitez à présent utiliser Red Hat Linux Secure Server), le certificat VeriSign que vous avez obtenu en vue de son utilisation avec la configuration précédente ne fonctionnera pas avec la nouvelle configuration. Vous devrez vous procurer un nouveau certificat.
Si vous disposez d'une clé et d'un certificat existants que vous pouvez utiliser, vous ne devrez pas suivre les instructions du Chapitre 3. Vous ne devez pas déplacer et renommer les fichiers contenant vos clé et certificat.
Déplacez votre fichier de clé existant vers :
/etc/httpd/conf/server.key |
Déplacez votre fichier de certificat existant vers :
/etc/httpd/conf/server.crt |
Après avoir déplacé vos clé et certificat, passez à la la section intitulée Installation et test de votre certificat.