path: root/docs/manual/ssl/ssl_howto.html.fr

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
              This file is generated from xml source: DO NOT EDIT
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      -->
<title>Chiffrement fort SSL/TLS : Mode d'emploi - Serveur HTTP Apache Version 2.5</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>

<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body id="manual-page"><div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur HTTP Apache Version 2.5</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">SSL/TLS</a></div><div id="page-content"><div id="preamble"><h1>Chiffrement fort SSL/TLS : Mode d'emploi</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/ssl/ssl_howto.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div>


<p>Ce document doit vous permettre de d&#233;marrer et de faire fonctionner
une configuration de base. Avant de vous lancer dans l'application de
techniques avanc&#233;es, il est fortement recommand&#233; de lire le reste
de la documentation SSL afin d'en comprendre le fonctionnement de
mani&#232;re plus approfondie.</p>
</div>
<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#configexample">Exemple de configuration basique</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ciphersuites">Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ocspstapling">Agrafage OCSP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#accesscontrol">Authentification du client et contr&#244;le d'acc&#232;s</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#logging">Journalisation</a></li>
</ul><h3>Voir aussi</h3><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="configexample" id="configexample">Exemple de configuration basique</a><a title="Lien permanent" href="#configexample" class="permalink">&para;</a></h2>


<p>Votre configuration SSL doit comporter au moins les directives
suivantes :</p>

<pre class="prettyprint lang-config">Listen 443
&lt;VirtualHost *:443&gt;
    ServerName www.example.com
    SSLEngine on
    SSLCertificateFile "/path/to/www.example.com.cert"
    SSLCertificateKeyFile "/path/to/www.example.com.key"
&lt;/VirtualHost&gt;</pre>


</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="ciphersuites" id="ciphersuites">Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort</a><a title="Lien permanent" href="#ciphersuites" class="permalink">&para;</a></h2>


<div class="warning">
<p>Le "chiffrement fort est et a toujours &#233;t&#233; une cible mouvante. En outre, la
d&#233;finition du terme "fort" d&#233;pend de l'utilisation que vous allez faire de votre
chiffrement, de vos mod&#232;les de menaces, et du niveau de risque que vous
consid&#233;rez comme acceptable. L'&#233;quipe du serveur HTTP Apache ne peut donc pas
d&#233;finir ce chiffrement fort &#224; votre place.</p>
<p>Dans ce document dont la derni&#232;re mise &#224; jour remonte &#224; la mi-2016, une
"chiffrement fort" fait r&#233;f&#233;rence &#224; une impl&#233;mentation TLS qui fournit, en plus
d'une protection basique de la confidentialit&#233;, de l'int&#233;grit&#233; et de
l'authenticit&#233; que tout utilisateur s'attend &#224; trouver, toutes les
fonctionnalit&#233;s suivantes :</p>
<ul>
<li>Une confidentialit&#233; persistante (Forward Secrecy) parfaite qui garantie que
la d&#233;couverte de la cl&#233; priv&#233;e d'un serveur ne compromettra pas la
condidentialit&#233; des communications TLS pass&#233;es.</li>
<li>Une protection contre les types d'attaque connus contre les anciennes
impl&#233;mentations SSL et TLS comme <a href="https://en.wikipedia.org/wiki/POODLE">POODLE</a> et <a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack">BEAST</a>.</li>
<li>Le support des algorithmes de chiffrement les plus efficaces disponibles sur
les navigateurs web modernes (et &#224; jour), ainsi que sur les autres clients HTTP.</li>
<li>Le <strong>Rejet</strong> des clients qui ne sont pas en mesure de respecter
ces pr&#233;requis. En d'autres termes, un "chiffrement fort" implique que les
clients obsol&#232;tes ne doivent pas avoir la possibilit&#233; de se connecter au serveur
afin de les emp&#234;cher de mettre en danger leurs utilisateurs. Vous seul(e) &#234;tes
alors &#224; m&#234;me de d&#233;cider si ce comportement est appropri&#233; &#224; votre situation.</li>
</ul>
<p>Notez cependant qu'un <em>chiffrement fort</em> ne suffit pas &#224; lui seul pour
assurer un niveau de <em>securit&#233;</em> fort (A titre d'exemple, les attaques
oracle sur la compression HTTP comme <a href="https://en.wikipedia.org/wiki/BREACH_(security_exploit)">BREACH</a>
peuvent n&#233;cessiter des actions suppl&#233;mentaires pour &#234;tre &#233;radiqu&#233;es).</p>
</div>

<ul>
<li><a href="#onlystrong">Comment cr&#233;er un serveur SSL
qui n'accepte que le chiffrement fort ?</a></li>
<li><a href="#strongurl">Comment cr&#233;er un serveur qui accepte de nombreux types de
chiffrement en g&#233;n&#233;ral, mais exige un chiffrement fort pour pouvoir
acc&#233;der &#224; une URL particuli&#232;re ?</a></li>
</ul>


<h3><a name="onlystrong" id="onlystrong">Comment cr&#233;er un serveur SSL qui n'accepte
que le chiffrement fort ?</a></h3>

    <p>La configuration suivante active le "chiffrement fort" telle qu'il est
    d&#233;fini ci-dessus, et s'inspire du document de la Fondation Mozilla sur les
    pr&#233;requis de <a href="https://wiki.mozilla.org/Security/Server_Side_TLS">Server Side
    TLS</a> :</p>

    <pre class="prettyprint lang-config"># Configuration "moderne" d&#233;finie en ao&#251;t 2016 par le g&#233;n&#233;rateur de
# configuration SSL de la Fondation Mozilla. Ce dernier est disponible &#224;
# https://mozilla.github.io/server-side-tls/ssl-config-generator/
SSLProtocol         all -SSLv3 -TLSv1 -TLSv1.1
# De nombreux algorithmes de chiffrement d&#233;finis ici n&#233;cessitent une version
# r&#233;cente (1.0.1 ou plus) d'OpenSSL. Certains n&#233;cessitent m&#234;me OpenSSL 1.1.0
# qui, &#224; l'heure o&#249; ces lignes sont &#233;crites, &#233;tait encore en pre-release.
SSLCipherSuite      ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression      off
SSLSessionTickets   off</pre>


    <ul>
    <li>SSL 3.0 et TLS 1.0 &#233;tant vuln&#233;rables &#224; certaines attaques connues contre
    le protocole, ils ont &#233;t&#233; enti&#232;rement retir&#233;s.</li>
    <li>Actuellement (en ao&#251;t 2016), la d&#233;sactivation de TLS 1.1 est facultative
    ; TLS 1.2 fournit des options de chiffrement plus &#233;volu&#233;es, mais la version
    1.1 n'est pas encore consid&#233;r&#233;e comme obsol&#232;te. La d&#233;sactivation de TLS 1.1
    peut cependant juguler des attaques contre certaines impl&#233;mentations
    d&#233;pass&#233;es de TLS.</li>
    <li>La directive <code class="directive"><a href="../mod/mod_ssl.html#sslhonorcipherorder">SSLHonorCipherOrder</a></code>
    permet de s'assurer que ce sont les pr&#233;f&#233;rences de chiffrement du serveur
    qui seront suivies, et non celles du client.</li>
    <li>La d&#233;sactivation de <code class="directive"><a href="../mod/mod_ssl.html#sslcompression">SSLCompression</a></code> permet de pr&#233;venir les attaques
    oracle sur la compression TLS (en autres <a href="https://en.wikipedia.org/wiki/CRIME">CRIME</a>).</li>
    <li>La d&#233;sactivation de <code class="directive"><a href="../mod/mod_ssl.html#sslsessiontickets">SSLSessionTickets</a></code> permet de s'assurer que la
    qualit&#233; de la confidentialit&#233; persistante (Forward Secrecy) ne sera pas
    compromise, m&#234;me si le serveur n'est pas red&#233;marr&#233; r&#233;guli&#232;rement.</li>
    </ul>

    <p>C'est votre version d'OpenSSL install&#233;e qui d&#233;termine la liste des
    algorithmes de chiffrement support&#233;s par la directive <code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code>, et non le serveur. Pour pouvoir
    utiliser certains d'entre eux, vous devrez peut-&#234;tre mettre &#224; jour votre
    version d'OpenSSL.</p>


<h3><a name="strongurl" id="strongurl">Comment cr&#233;er un serveur qui accepte de nombreux types de
chiffrement en g&#233;n&#233;ral, mais exige un chiffrement fort pour pouvoir
acc&#233;der &#224; une URL particuli&#232;re ?</a></h3>

    <p>Dans ce cas bien &#233;videmment, une directive <code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code> au niveau du serveur principal
    qui restreint le choix des suites de chiffrement aux versions les plus
    fortes ne conviendra pas. <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> peut cependant &#234;tre
    reconfigur&#233; au sein de blocs <code>Location</code> qui permettent
    d'adapter la configuration g&#233;n&#233;rale &#224; un r&#233;pertoire sp&#233;cifique ;
    <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> peut alors forcer automatiquement une
    ren&#233;gociation des param&#232;tres SSL pour parvenir au but recherch&#233;.
    Cette configuration peut se pr&#233;senter comme suit :</p>
    <pre class="prettyprint lang-config"># soyons tr&#232;s tol&#233;rant a priori -- utilisons la suite d'algorithmes de
# chiffrement "interm&#233;diaire" de Mozilla (des suites plus l&#233;g&#232;res peuvent aussi
# &#234;tre utilis&#233;es mais ne seront pas document&#233;es ici)
SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

&lt;Location "/strong/area"&gt;
# sauf pour https://hostname/strong/area/ et ses sous-r&#233;pertoires qui exigent
# des chiffrements forts
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
&lt;/Location&gt;</pre>


</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="ocspstapling" id="ocspstapling">Agrafage OCSP</a><a title="Lien permanent" href="#ocspstapling" class="permalink">&para;</a></h2>


<p>Le protocole de contr&#244;le du statut des certificats en ligne (Online
Certificate Status Protocol - OCSP) est un m&#233;canisme permettant de
d&#233;terminer si un certificat a &#233;t&#233; r&#233;voqu&#233; ou non, et l'agrafage OCSP en
est une fonctionnalit&#233; particuli&#232;re par laquelle le serveur, par exemple
httpd et mod_ssl, maintient une liste des r&#233;ponses OCSP actuelles pour
ses certificats et l'envoie aux clients qui communiquent avec lui. La
plupart des certificats contiennent l'adresse d'un r&#233;pondeur OCSP maintenu
par l'Autorit&#233; de Certification (CA) sp&#233;cifi&#233;e, et mod_ssl peut requ&#233;rir
ce r&#233;pondeur pour obtenir une r&#233;ponse sign&#233;e qui peut &#234;tre envoy&#233;e aux
clients qui communiquent avec le serveur.</p>

<p>L'agrafage OCSP est la m&#233;thode la plus performante pour obtenir le
statut d'un certificat car il est disponible au niveau du serveur, et le
client n'a donc pas besoin d'ouvrir une nouvelle connexion vers
l'autorit&#233; de certification. Autres avantages de l'absence de
communication entre le client et l'autorit&#233; de certification :
l'autorit&#233; de certification n'a pas acc&#232;s &#224; l'historique de navigation
du client, et l'obtention du statut du certificat est plus efficace car
elle n'est plus assujettie &#224; une surcharge &#233;ventuelle des serveurs de
l'autorit&#233; de certification.</p>

<p>La charge du serveur est moindre car la r&#233;ponse qu'il a obtenu du
r&#233;pondeur OCSP peut &#234;tre r&#233;utilis&#233;e par tous les clients qui utilisent
le m&#234;me certificat dans la limite du temps de validit&#233; de la r&#233;ponse.</p>

<p>Une fois le support g&#233;n&#233;ral SSL correctement configur&#233;, l'activation
de l'agrafage OCSP ne requiert que des modifications mineures
&#224; la configuration de httpd et il suffit en g&#233;n&#233;ral de l'ajout de ces
deux directives :</p>

    <pre class="prettyprint lang-config">SSLUseStapling On
SSLStaplingCache "shmcb:ssl_stapling(32768)"</pre>


<p>Ces directives sont plac&#233;es de fa&#231;on &#224; ce qu'elles aient une port&#233;e
globale (et particuli&#232;rement en dehors de toute section VirtualHost), le
plus souvent o&#249; sont plac&#233;es les autres directives de configuration
globales SSL, comme <code>conf/extra/httpd-ssl.conf</code> pour les
installations de httpd &#224; partir des sources, ou
<code>/etc/apache2/mods-enabled/ssl.conf</code> pour Ubuntu ou Debian,
etc...</p>

<p>Cette directive <code class="directive">SSLStaplingCache</code> particuli&#232;re
n&#233;cessite le chargement du module <code class="module"><a href="../mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code> (&#224;
cause du pr&#233;fixe <code>shmcb</code> de son argument). Ce module est en
g&#233;n&#233;ral d&#233;j&#224; activ&#233; pour la directive
<code class="directive">SSLSessionCache</code>, ou pour des modules autres que
<code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>. Si vous activez un cache de session SSL
utilisant un m&#233;canisme autre que <code class="module"><a href="../mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code>,
utilisez aussi ce m&#233;canisme alternatif pour la directive
<code class="directive">SSLStaplingCache</code>. Par exemple :</p>

    <pre class="prettyprint lang-config">SSLSessionCache "dbm:ssl_scache"
SSLStaplingCache "dbm:ssl_stapling"</pre>


<p>Vous pouvez utiliser la commande openssl pour v&#233;rifier que votre
serveur envoie bien une r&#233;ponse OCSP :</p>

<pre>$ openssl s_client -connect www.example.com:443 -status -servername www.example.com
...
OCSP response: 
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
...
    Cert Status: Good
...</pre>

<p>Les sections suivantes explicitent les situations courantes qui
requi&#232;rent des modifications suppl&#233;mentaires de la configuration. Vous
pouvez aussi vous r&#233;f&#233;rer au manuel de r&#233;f&#233;rence de
<code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code>.</p>

<h3>Si l'on utilise plus que quelques certificats SSL pour le serveur</h3>

<p>Les r&#233;ponses OCSP sont stock&#233;es dans le cache d'agrafage SSL. Alors
que les r&#233;ponses ont une taille de quelques centaines &#224; quelques
milliers d'octets, mod_ssl supporte des r&#233;ponses d'une taille jusqu'&#224;
environ 10 ko. Dans notre cas, le nombre de certificats est cons&#233;quent
et la taille du cache (32768 octets dans l'exemple ci-dessus) doit &#234;tre
augment&#233;e. En cas d'erreur lors du stockage d'une r&#233;ponse, le
message AH01929 sera enregistr&#233; dans le journal.</p>


<h3>Si le certificat ne sp&#233;cifie pas de r&#233;pondeur OCSP, ou si une
adresse diff&#233;rente doit &#234;tre utilis&#233;e</h3>

<p>Veuillez vous r&#233;f&#233;rer &#224; la documentation de la directive <code class="directive"><a href="../mod/mod_ssl.html#sslstaplingforceurl">SSLStaplingForceURL</a></code>.</p>

<p>Vous pouvez v&#233;rifier si un certificat sp&#233;cifie un r&#233;pondeur OCSP en
utilisant la commande openssl comme suit :</p>

<pre>$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
OCSP - URI:http://ocsp.example.com</pre>

<p>Si un URI OCSP est fourni et si le serveur web peut communiquer
directement avec lui sans passer par un mandataire, aucune modification
suppl&#233;mentaire de la configuration n'est requise. Notez que les r&#232;gles
du pare-feu qui contr&#244;lent les connexions sortantes en provenance du
serveur web devront peut-&#234;tre subir quelques ajustements.</p>

<p>Si aucun URI OCSP n'est fourni, contactez votre autorit&#233; de
certification pour savoir s'il en existe une ; si c'est le
cas, utilisez la directive <code class="directive"><a href="../mod/mod_ssl.html#sslstaplingforceurl">SSLStaplingForceURL</a></code> pour la sp&#233;cifier dans
la configuration du serveur virtuel qui utilise le certificat.</p>


<h3>Si plusieurs serveurs virtuels sont configur&#233;s pour utiliser SSL
et si l'agrafage OCSP doit &#234;tre d&#233;sactiv&#233; pour certains d'entre eux</h3>


<p>Ajoutez la directive <code>SSLUseStapling Off</code> &#224; la
configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit
&#234;tre d&#233;sactiv&#233;.</p>


<h3>Si le r&#233;pondeur OCSP est lent ou instable</h3>

<p>De nombreuses directives permettent de g&#233;rer les temps de r&#233;ponse et
les erreurs. R&#233;f&#233;rez-vous &#224; la documentation de <code class="directive"><a href="../mod/mod_ssl.html#sslstaplingfaketrylater">SSLStaplingFakeTryLater</a></code>, <code class="directive"><a href="../mod/mod_ssl.html#sslstaplingrespondertimeout">SSLStaplingResponderTimeout</a></code>, et <code class="directive"><a href="../mod/mod_ssl.html#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></code>.</p>


<h3>Si mod_ssl enregistre l'erreur AH02217 dans le journal</h3>

<pre>AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!</pre>
<p>Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de
serveur particulier est utilis&#233;, une cha&#238;ne de certification pour ce
certificat doit &#234;tre sp&#233;cifi&#233;e. Si cela n'a pas &#233;t&#233; fait lors de
l'activation de SSL, l'erreur AH02217 sera enregistr&#233;e lorsque
l'agrafage OCSP sera activ&#233;, et les clients qui utilisent le certificat
consid&#233;r&#233; ne recevront pas de r&#233;ponse OCSP.</p>

<p>Veuillez vous r&#233;f&#233;rer &#224; la documentation des directives <code class="directive"><a href="../mod/mod_ssl.html#sslcertificatechainfile">SSLCertificateChainFile</a></code> et <code class="directive"><a href="../mod/mod_ssl.html#sslcertificatefile">SSLCertificateFile</a></code> pour sp&#233;cifier une
cha&#238;ne de certification.</p>


</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="accesscontrol" id="accesscontrol">Authentification du client et contr&#244;le d'acc&#232;s</a><a title="Lien permanent" href="#accesscontrol" class="permalink">&para;</a></h2>

<ul>
<li><a href="#allclients">Comment forcer les clients
&#224; s'authentifier &#224; l'aide de certificats ?</a></li>
<li><a href="#arbitraryclients">Comment forcer les clients
&#224; s'authentifier &#224; l'aide de certificats pour une URL particuli&#232;re,
mais autoriser quand-m&#234;me tout client anonyme
&#224; acc&#233;der au reste du serveur ?</a></li>
<li><a href="#certauthenticate">Comment n'autoriser l'acc&#232;s &#224; une URL
particuli&#232;re qu'aux clients qui poss&#232;dent des certificats, mais autoriser
l'acc&#232;s au reste du serveur &#224; tous les clients ?</a></li>
<li><a href="#intranet">Comment imposer HTTPS avec chiffrements forts,
et soit authentification de base, soit possession de certificats clients,
pour l'acc&#232;s &#224; une partie de l'Intranet, pour les clients en
provenance de l'Internet ?</a></li>
</ul>

<h3><a name="allclients" id="allclients">Comment forcer les clients
&#224; s'authentifier &#224; l'aide de certificats ?
</a></h3>


    <p>Lorsque vous connaissez tous vos clients (comme c'est en g&#233;n&#233;ral le cas
    au sein d'un intranet d'entreprise), vous pouvez imposer une
    authentification bas&#233;e uniquement sur les certificats. Tout ce dont vous
    avez besoin pour y parvenir est de cr&#233;er des certificats clients sign&#233;s par
    le certificat de votre propre autorit&#233; de certification
    (<code>ca.crt</code>), et d'authentifier les clients &#224; l'aide de ces
    certificats.</p>
    <pre class="prettyprint lang-config"># exige un certificat client sign&#233; par le certificat de votre CA
# contenu dans ca.crt
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile "conf/ssl.crt/ca.crt"</pre>



<h3><a name="arbitraryclients" id="arbitraryclients">Comment forcer les clients
&#224; s'authentifier &#224; l'aide de certificats pour une URL particuli&#232;re,
mais autoriser quand-m&#234;me tout client anonyme
&#224; acc&#233;der au reste du serveur ?</a></h3>


<p>Pour forcer les clients &#224; s'authentifier &#224; l'aide de certificats pour une
URL particuli&#232;re, vous pouvez utiliser les fonctionnalit&#233;s de reconfiguration
de <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> en fonction du r&#233;pertoire :</p>

    <pre class="prettyprint lang-config">SSLVerifyClient none
SSLCACertificateFile "conf/ssl.crt/ca.crt"

&lt;Location "/secure/area"&gt;
SSLVerifyClient require
SSLVerifyDepth 1
&lt;/Location&gt;</pre>



<h3><a name="certauthenticate" id="certauthenticate">Comment n'autoriser l'acc&#232;s &#224; une URL
particuli&#232;re qu'aux clients qui poss&#232;dent des certificats, mais autoriser
l'acc&#232;s au reste du serveur &#224; tous les clients ?</a></h3>


    <p>La cl&#233; du probl&#232;me consiste &#224; v&#233;rifier si une partie du certificat
    client correspond &#224; ce que vous attendez. Cela signifie en g&#233;n&#233;ral
    consulter tout ou partie du nom distinctif (DN), afin de v&#233;rifier s'il
    contient une cha&#238;ne connue. Il existe deux m&#233;thodes pour y parvenir ;
    on utilise soit le module <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code>, soit la
    directive <code class="directive"><a href="../mod/mod_ssl.html#sslrequire">SSLRequire</a></code>.</p>

    <p>La m&#233;thode du module <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code> est en g&#233;n&#233;ral
    incontournable lorsque les certificats ont un contenu arbitraire, ou
    lorsque leur DN ne contient aucun champ connu
    (comme l'organisation, etc...). Dans ce cas, vous devez construire une base
    de donn&#233;es de mots de passe contenant <em>tous</em> les clients
    autoris&#233;s, comme suit :</p>

    <pre class="prettyprint lang-config">SSLVerifyClient      none
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"

&lt;Directory "/usr/local/apache2/htdocs/secure/area"&gt;
SSLVerifyClient      require
    SSLVerifyDepth       5
    SSLOptions           +FakeBasicAuth
    SSLRequireSSL
    AuthName             "Snake Oil Authentication"
    AuthType             Basic
    AuthBasicProvider    file
    AuthUserFile         "/usr/local/apache2/conf/httpd.passwd"
    Require              valid-user
&lt;/Directory&gt;</pre>

    

    <p>Le mot de passe utilis&#233; dans cet exemple correspond &#224; la cha&#238;ne de
    caract&#232;res "password" chiffr&#233;e en DES. Voir la documentation de la
    directive <code class="directive"><a href="../mod/mod_ssl.html#ssloptions">SSLOptions</a></code> pour
    plus de d&#233;tails.</p>

    <div class="example"><h3>httpd.passwd</h3><pre>/C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
/C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
/C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA</pre></div>

    <p>Lorsque vos clients font tous partie d'une m&#234;me hi&#233;rarchie, ce qui
    appara&#238;t dans le DN, vous pouvez les authentifier plus facilement en
    utilisant la directive <code class="directive"><a href="../mod/mod_ssl.html#sslrequire">SSLRequire</a></code>, comme suit :</p>


    <pre class="prettyprint lang-config">SSLVerifyClient      none
SSLCACertificateFile "conf/ssl.crt/ca.crt"
SSLCACertificatePath "conf/ssl.crt"

&lt;Directory "/usr/local/apache2/htdocs/secure/area"&gt;
  SSLVerifyClient      require
  SSLVerifyDepth       5
  SSLOptions           +FakeBasicAuth
  SSLRequireSSL
  SSLRequire       %{SSL_CLIENT_S_DN_O}  eq "Snake Oil, Ltd." \
               and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
&lt;/Directory&gt;</pre>



<h3><a name="intranet" id="intranet">Comment imposer HTTPS avec chiffrements forts,
et soit authentification de base, soit possession de certificats clients,
pour l'acc&#232;s &#224; une partie de l'Intranet, pour les clients en
provenance de l'Internet ? Je souhaite quand-m&#234;me autoriser l'acc&#232;s en HTTP
aux clients de l'intranet.</a></h3>


   <p>On suppose dans ces exemples que les clients de l'intranet ont des
   adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
   &#224; laquelle vous voulez autoriser l'acc&#232;s depuis l'Internet est
   <code>/usr/local/apache2/htdocs/subarea</code>. Ces lignes de configuration
   doivent se trouver en dehors de votre h&#244;te virtuel HTTPS, afin qu'elles
   s'appliquent &#224; la fois &#224; HTTP et HTTPS.</p>

    <pre class="prettyprint lang-config">SSLCACertificateFile "conf/ssl.crt/company-ca.crt"

&lt;Directory "/usr/local/apache2/htdocs"&gt;
#   En dehors de subarea, seul l'acc&#232;s depuis l'intranet est
#   autoris&#233;
    Require              ip 192.168.1.0/24
&lt;/Directory&gt;

&lt;Directory "/usr/local/apache2/htdocs/subarea"&gt;
#   Dans subarea, tout acc&#232;s depuis l'intranet est autoris&#233;
#   mais depuis l'Internet, seul l'acc&#232;s par HTTPS + chiffrement fort + Mot de passe
#   ou HTTPS + chiffrement fort + certificat client n'est autoris&#233;.

#   Si HTTPS est utilis&#233;, on s'assure que le niveau de chiffrement est fort.
#   Autorise en plus les certificats clients comme une alternative &#224;
#   l'authentification basique.
    SSLVerifyClient      optional
    SSLVerifyDepth       1
    SSLOptions           +FakeBasicAuth +StrictRequire
    SSLRequire           %{SSL_CIPHER_USEKEYSIZE} &gt;= 128
    
    #   ON oblige les clients venant d'Internet &#224; utiliser HTTPS
    RewriteEngine        on
    RewriteCond          "%{REMOTE_ADDR}" "!^192\.168\.1\.[0-9]+$"
    RewriteCond          "%{HTTPS}" "!=on"
    RewriteRule          "." "-" [F]
    
    #   On permet l'acc&#232;s soit sur les crit&#232;res r&#233;seaux, soit par authentification Basique
    Satisfy              any
    
    #   Contr&#244;le d'acc&#232;s r&#233;seau
    Require              ip 192.168.1.0/24
    
    #   Configuration de l'authentification HTTP Basique
    AuthType             basic
    AuthName             "Protected Intranet Area"
    AuthBasicProvider    file
    AuthUserFile         "conf/protected.passwd"
    Require              valid-user
&lt;/Directory&gt;</pre>


</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="logging" id="logging">Journalisation</a><a title="Lien permanent" href="#logging" class="permalink">&para;</a></h2>
    

    <p><code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> peut enregistrer des informations de
    d&#233;bogage tr&#232;s verbeuses dans le journal des erreurs, lorsque sa
    directive <code class="directive"><a href="../mod/core.html#loglevel">LogLevel</a></code> est d&#233;finie
    &#224; des niveaux de trace &#233;lev&#233;s. Par contre, sur un serveur tr&#232;s
    sollicit&#233;, le niveau <code>info</code> sera probablement d&#233;j&#224; trop
    &#233;lev&#233;. Souvenez-vous que vous pouvez configurer la directive
    <code class="directive"><a href="../mod/core.html#loglevel">LogLevel</a></code> par module afin de
    pourvoir &#224; vos besoins.</p>
</div></div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/ssl/ssl_howto.html" title="Fran&#231;ais">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/ssl/ssl_howto.html';
(function(w, d) {
    if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
        d.write('<div id="comments_thread"><\/div>');
        var s = d.createElement('script');
        s.type = 'text/javascript';
        s.async = true;
        s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
        (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
    }
    else {
        d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
    }
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2018 The Apache Software Foundation.<br />Autoris&#233; sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
    prettyPrint();
}
//--><!]]></script>
</body></html>