Installer un certificat SSL

Après avoir généré une demande de signature de certificat (CSR) et acheté ou renouvelé un certificat SSL (Secure Socket Layer), vous devrez l'installer. Cet article vous explique comment installer un certificat SSL sur différents serveurs et systèmes d'exploitation.

Si vous souhaitez installer un certificat SSL sur un équilibreur de charge, consultez Configurer des certificats SSL sur des équilibreurs de charge cloud.

Les sections suivantes fournissent des instructions pour le processus d'installation en fonction de chaque plate-forme :

• Prérequis

• Installer le certificat sur les serveurs Microsoft® Windows® 2008 R2 et 2012

• Installer le certificat dans Apache Web Server

• Installer le certificat dans NGINX avec php-fpm

• Installer le certificat sur les solutions d'hébergement géré

• Installer le certificat sur un domaine Microsoft® Azure® personnalisé

• Tester le certificat

Après avoir installé votre certificat, vous devez recharger votre service de serveur Web.

Prérequis

Avant d'installer votre certificat, assurez-vous que vous disposez des éléments suivants :

• Un certificat de votre fournisseur SSL préféré stocké sur votre serveur. Si vous n'avez pas encore de certificat, consultez Générer un CSR et Acheter ou renouveler un certificat SSL pour obtenir des instructions.

• L'ensemble de l'autorité de certification (CA) avec les certificats racine et intermédiaires fournis par le fournisseur SSL.

• La .key fichier qui a été généré lorsque vous avez créé le CSR.

• Un serveur Web installé tel qu'Apache ou NGINX.

• Une adresse IP (Internet Protocol) pour votre certificat SSL.

Copiez les fichiers dans l'emplacement par défaut sur votre serveur

Un certificat SSL fourni par le fournisseur contient trois composants :le certificat SSL, le fichier CA et la clé SSL. Lorsque vous recevez votre certificat SSL de votre autorité de certification, téléchargez-le sur votre serveur en procédant comme suit :

1. Copiez tout le contenu du certificat, y compris le BEGIN CERTIFICATE et END CERTIFICATE lignes. Enregistrez le texte copié sous domain.com.crt .

2. Copiez le certificat et la clé privée dans le répertoire du serveur dans lequel vous prévoyez de stocker vos certificats. Par exemple, les répertoires Apache par défaut sont :/usr/local/apache/conf/ssl.crt/ ou /etc/httpd/conf/ssl.crt/ .

Installer le certificat sur les serveurs Windows

Les sections suivantes vous montrent comment installer et lier un certificat SSL sur des serveurs Windows à l'aide du gestionnaire des services Internet (IIS).

Installer le certificat

Prérequis :vous devez déjà disposer du certificat fourni par votre fournisseur SSL préféré.

Si vous avez obtenu votre CSR en utilisant autre chose qu'IIS, passez à Importer un certificat SSL à partir d'un autre serveur.

Utilisez les étapes suivantes si vous avez obtenu votre CSR en utilisant IIS, qui associe la clé publique de votre fournisseur avec la clé privée générée par IIS.

1. Dans le gestionnaire IIS, sélectionnez le serveur et double-cliquez sur Certificats de serveur .
2. Sous Actions , cliquez sur Terminer la demande de certificat .
3. Dans l'assistant, sélectionnez l'emplacement du fichier de certificat fourni par votre fournisseur SSL.
4. Pour Windows Server® 2012 uniquement , nommez le fichier et choisissez votre emplacement de stockage.
5. Cliquez sur OK .

Importer un certificat SSL depuis un autre serveur

1. Dans le gestionnaire IIS, double-cliquez sur Certificats de serveur .
2. Sous Actions , cliquez sur Importer .
3. Sélectionnez l'emplacement de votre fichier de certificat, saisissez le mot de passe (si vous avez activé la case à cocher) et choisissez l'emplacement de stockage de votre certificat (Windows Server 2012 uniquement ).
4. Cliquez sur OK .

Configurer les liaisons

1. Dans le gestionnaire IIS, faites un clic droit sur votre site et sélectionnez Modifier les liaisons .
2. Dans les liens de site fenêtre, cliquez sur Ajouter .
3. Dans Ajouter une liaison de site boîte de dialogue, effectuez les étapes suivantes :a. Définissez la valeur de Type à https .b. Pour Windows Server 2012 uniquement , indiquez le nom d'hôte si nécessaire.c. Depuis le certificat SSL liste, sélectionnez votre certificat.d. Cliquez sur OK .

Après avoir configuré les liaisons, les Liaisons de site fenêtre affiche la liaison pourHTTPS.

Installer le certificat dans le serveur Web Apache

Les sections suivantes vous montrent comment installer et lier un certificat SSL sur des serveurs Web Apache

REMARQUE : Sachez que les commandes sont exécutées par l'utilisateur root, si vous n'avez pas accès à l'utilisateur root mais que vous disposez des autorisations sudo, utilisez la commande sudo au début de chaque ligne.

Prérequis

La première étape de l'ajout d'un vhost consiste à s'assurer que Apache est installé sur le serveur et qu'il est en cours d'exécution. Cela peut être fait avec les commandes suivantes. (Si vous savez déjà qu'Apache est opérationnel, vous pouvez ignorer cette étape).

RHEL 6/CentOS 6

$ service httpd status

RHEL 7/CentOS 7+

$ systemctl status httpd  

Debian 8+/Ubuntu 16+

$ systemctl status apache2

À ce stade, si Apache n'est pas installé, vous recevrez une erreur indiquant que le processus est introuvable. Vous pouvez vérifier si le serveur exécute Apache avec la commande suivante :

$ netstat -plnt | awk '$4 ~ /:(80|443)$/'

Si vous trouvez que le serveur n'exécute pas Apache, ce n'est pas la bonne option pour vous. Veuillez essayer un autre processus répertorié dans cet article.

Vérifier que le module SSL Apache est disponible

mod_ssl est un module optionnel pour le serveur HTTP Apache. Il fournit une cryptographie solide pour le serveur Web Apache. Sans cela, le serveur Web Apache ne pourra pas utiliser ou fournir le cryptage SSL.

Pour vérifier si le module SSL a été activé, exécutez la commande suivante en fonction du système d'exploitation que vous utilisez :

RHEL / CentOS

$ httpd -M | grep ssl

Si aucune sortie n'est reçue, le mod_ssl (partagé) doit être installé pour servir le trafic SSL.

Exécutez la commande suivante pour installer mod_ssl :

# For RHEL 7/ CentOS 7
$ yum install mod_ssl

# For RHEL 8/ CentOS 8 / Alma Linux / Rocky Linux.
$ dnf install mod_ssl

Pour vérifier si le module SSL a été activé, exécutez la commande suivante :

$ apachectl -M | grep ssl
 ssl_module (shared)

Debian/Ubuntu

Pour vérifier si le module SSL a été activé, exécutez la commande suivante :

$ apachectl -M | grep ssl
 ssl_module (shared)

Si aucune sortie n'est affichée, le mod_ssl (partagé) nécessite une activation pour servir le trafic SSL.Exécutez la commande suivante pour activer mod_ssl

$ a2enmod ssl

Une fois mod_ssl installé, Apache nécessitera un redémarrage pour l'activer. Exécutez la commande de distribution appropriée pour redémarrer Apache, vous pouvez la trouver dans la section recharger ou redémarrer le serveur Web.

Installer et sécuriser les composants SSL sur le serveur

Maintenant que vous avez le certificat SSL , Clé privée et Ensemble CA vous êtes prêt à ajouter ces certificats au serveur. Les meilleures pratiques dictent que les certificats sont nommés (expirationYear-domain, par exemple :2022-example.com.crt) et stockés dans les emplacements suivants.

RHEL/CentOS

À l'aide de votre éditeur de texte préféré, créez de nouveaux fichiers aux emplacements indiqués ci-dessous. Assurez-vous de remplacer example.com par le nom du domaine sur le serveur.

SSL Certificate - /etc/pki/tls/certs/2022-example.com.crt
SSL CA Bundle  - /etc/pki/tls/certs/2022-example.com.CA.crt
SSL Private Key - /etc/pki/tls/private/2022-example.com.key

Debian/Ubuntu

À l'aide de votre éditeur de texte préféré, créez de nouveaux fichiers aux emplacements indiqués ci-dessous. Assurez-vous de remplacer example.com par le nom du domaine sur le serveur.

Certificat SSL - /etc/ssl/certs/2022-example.com.crtSSL CA Bundle - /etc/ssl/certs/2022-example.com.CA.crtSSL Clé privée - /etc/ssl/private/2022-example. com.key

REMARQUE : Lorsqu'une clé privée est installée avec des autorisations lisibles par le monde entier, elle permet à toute personne ayant accès même à un compte d'utilisateur sur le serveur de déchiffrer toute information chiffrée avec son certificat correspondant. Il est important de s'assurer que le certificat et la clé disposent des autorisations appropriées.

Une fois que les composants du certificat SSL ont été installés aux emplacements appropriés, il est important que nous définissions les autorisations correctes pour le fichier de clé privée.

$ chmod 600 /path/to/private/key/file.key

Créer ou modifier le fichier VirtualHost

RHEL/CentOS

Les fichiers d'hôte virtuel spécifient la configuration de nos sites distincts et dictent la manière dont le serveur Web Apache répondra aux diverses demandes de domaine.

La meilleure pratique de Rackspace stipule que l'hôte virtuel est situé aux emplacements suivants :

• /etc/httpd/conf.d/example.com.conf

Les emplacements alternatifs pour l'hôte virtuel Apache peuvent être :

• /etc/httpd/conf/httpd.conf (fichier de configuration apache par défaut, également largement utilisé par Webmin)
• /etc/httpd/conf.d/ssl.conf (fichier de configuration global par défaut pour SSL)
• /etc/httpd/vhost.d/example.com.conf (vhost.d est un répertoire créé par l'utilisateur et bien que raisonnablement courant, ce n'est pas la meilleure pratique)

REMARQUE : :En raison des configurations que nous avons décrites, tous les fichiers d'hôtes virtuels doivent se terminer par .conf. Pour les besoins de cet exemple, nous supposerons qu'un hôte virtuel pour le port 80 existe déjà dans son propre fichier de configuration.

Commencez par ouvrir le fichier de l'hôte virtuel dans votre éditeur de texte préféré :

$ vim /etc/httpd/conf.d/example.com.conf

Si l'hôte virtuel du port 80 a été configuré par Rackspace, dans la plupart des cas, un bloc 443 factice aurait été créé comme espace réservé. Si tel est le cas, vous pouvez supprimer le caractère de commentaire au début de chaque ligne et modifier la section selon vos besoins.

Il y a quelques points à vérifier :

• ServerName/ServerAlias ​​correspond à votre domaine
• Le DocumentRoot correspond au bloc du port 80
• La section Répertoire correspond au bloc du port 80

Placez ce qui suit dans votre hôte virtuel pour le bloc 443 :

SSLEngine on
SSLCertificateFile      /etc/pki/tls/certs/2022-example.com.crt
SSLCertificateChainFile /etc/pki/tls/certs/2022-example.com.CA.crt
SSLCertificateKeyFile   /etc/pki/tls/private/2022-example.com.key

Debian/Ubuntu

Les fichiers d'hôte virtuel spécifient la configuration de nos sites distincts et dictent la manière dont le serveur Web Apache répondra aux diverses demandes de domaine.

La meilleure pratique de Rackspace stipule que l'hôte virtuel est situé aux emplacements suivants :

• /etc/apache2/sites-available/example.com.conf

Ce répertoire est l'emplacement où le fichier de configuration est stocké. Il est ensuite lié symboliquement à /etc/apache2/sites-enabled/example.com.conf

REMARQUE :En raison des configurations que nous avons décrites, tous les fichiers d'hôtes virtuels doivent se terminer par .conf. Pour les besoins de cet exemple, nous supposerons qu'un hôte virtuel pour le port 80 existe déjà dans son propre fichier de configuration.

Commencez par ouvrir le fichier de l'hôte virtuel dans votre éditeur de texte préféré :

$ vim /etc/apache2/sites-available/example.com.conf

Si l'hôte virtuel du port 80 a été configuré par Rackspace, dans la plupart des cas, un bloc 443 factice aurait été créé comme espace réservé. Si tel est le cas, vous pouvez supprimer le caractère de commentaire au début de chaque ligne et modifier la section selon vos besoins.

Il y a quelques points à vérifier :

• ServerName/ServerAlias ​​correspond à votre domaine
• Le DocumentRoot correspond au bloc du port 80
• La section Répertoire correspond au bloc du port 80

Placez ce qui suit dans votre hôte virtuel pour le bloc 443 :

<VirtualHost *:443>
        ServerName      example.com
        ServerAlias     www.example.com
        DocumentRoot    /var/www/vhosts/example.com
        <Directory /var/www/vhosts/example.com>
                Options -Indexes +FollowSymLinks -MultiViews
                AllowOverride All
        </Directory>

        CustomLog   /var/log/apache2/example.com-access.log combined
        ErrorLog    /var/log/apache2/example.com-error.log

        SSLEngine on
        SSLCertificateKeyFile   /etc/ssl/private/2022-example.com.key
        SSLCertificateFile      /etc/ssl/certs/2022-example.com.crt
        SSLCertificateChainFile /etc/ssl/certs/2022-example.com.ca.crt
</VirtualHost>

Vérifier la syntaxe et activer l'hôte virtuel dans Apache

Maintenant que les fichiers de configuration Document Root et Virtual Host ont été créés, nous pouvons vérifier la syntaxe des fichiers de configuration et recharger Apache.

AVERTISSEMENT :Les étapes suivantes peuvent entraîner la rupture du processus Apache. Assurez-vous que ces étapes sont suivies à la lettre et que vous vérifiez votre travail après avoir apporté les modifications. Si les modifications que vous apportez entraînent l'arrêt du processus Apache, cela signifie que les domaines sur le serveur sont désormais indisponibles. Annulez toutes les modifications apportées et assurez-vous que le processus Apache est en cours d'exécution ou appelez l'assistance mondiale de Rackspace

RHEL/CentOS 6

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ httpd -t
Syntax OK

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration Apache.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message Syntax OK.

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger Apache :

$ apachectl graceful

Une fois Apache rechargé, n'oubliez pas de vérifier qu'Apache fonctionne comme prévu, comme décrit dans la section Prérequis.

RHEL/CentOS 7

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ httpd -t
Syntax OK

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration Apache.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message Syntax OK.

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger Apache :

$ apachectl graceful

Une fois Apache rechargé, n'oubliez pas de vérifier qu'Apache fonctionne comme prévu, comme décrit dans la section Prérequis.

Debian/Ubuntu

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ apachectl -t

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration Apache.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger Apache :

$ apachectl graceful

Une fois Apache rechargé, n'oubliez pas de vérifier qu'Apache fonctionne comme prévu, comme décrit dans la section Prérequis.

Installer le certificat dans Nginx avec PHP-FPM

Les sections suivantes vous montrent comment installer et lier un certificat SSL sur les serveurs Web NGINX

REMARQUE : Sachez que les commandes sont exécutées par l'utilisateur root, si vous n'avez pas accès à l'utilisateur root mais que vous disposez des autorisations sudo, utilisez la commande sudo au début de chaque ligne.

Prérequis

La première étape de l'ajout d'un bloc de serveur consiste à s'assurer que Nginx est installé sur le serveur et qu'il est en cours d'exécution. Cela peut être fait avec les commandes suivantes.

RHEL/CentOS 6

$ service nginx status

RHEL 7+/CentOS 7+/Debian 8+/Ubuntu 16+

$ systemctl status nginx

À ce stade, si NGINX n'est pas installé, vous recevrez une erreur indiquant que le processus est introuvable. Vous pouvez vérifier si le serveur exécute Nginx avec la commande suivante :

$ netstat -plnt | awk '$4 ~ /:(80|443)$/'

Si vous trouvez que le serveur n'exécute pas NGINX, ce n'est pas le bon processus. Veuillez essayer un autre processus décrit dans cet article.

Installer et sécuriser les composants SSL sur le serveur

Maintenant que vous avez le certificat SSL , Clé privée et Ensemble CA vous êtes prêt à ajouter ces certificats au serveur. Les meilleures pratiques dictent que les certificats sont nommés (expirationYear-domain, par exemple :2022-example.com.crt) et stockés dans les emplacements suivants.

RHEL/CentOS

NGINX utilise uniquement deux fichiers de certificat pour chaque bloc de serveur. Les fichiers CA Bundle et Certificate sont combinés en un seul fichier. Il existe deux façons de configurer le certificat chaîné à utiliser avec Nginx.

À l'aide de votre éditeur de texte préféré, créez de nouveaux fichiers aux emplacements indiqués ci-dessous. Assurez-vous de changer l'exemple . com au nom du domaine sur le serveur.

La première méthode consiste simplement à ajouter les contenus CRT et CA Bundle dans un seul fichier à l'emplacement de certificat approprié. Ceci est illustré dans l'exemple ci-dessous :

• Certificat SSL/Chaîne - /etc/pki/tls/certs/2022-example.com.chained.crt
• Clé privée SSL - /etc/pki/tls/private/2022-example.com.key

La deuxième méthode comprend une étape supplémentaire dans laquelle vous ajoutez le bundle CA en tant que son propre fichier au serveur, puis concaténez les fichiers dans un nouveau fichier. Ceci est illustré dans l'exemple ci-dessous.

SSL Certificate - /etc/pki/tls/certs/2022-example.com.crt
SSL CA Bundle  - /etc/pki/tls/certs/2022-example.com.CA.crt
SSL Private Key - /etc/pki/tls/private/2022-example.com.key

Une fois les fichiers créés, vous pouvez exécuter la commande suivante :

cat /etc/pki/tls/certs/2022-example.com.crt /etc/pki/tls/certs/2022-example.com.CA.crt > /etc/pki/tls/certs/2022-example.com.chained.crt

Debian/Ubuntu

NGINX utilise uniquement deux fichiers de certificat pour chaque bloc de serveur. Les fichiers CA Bundle et Certificate sont combinés en un seul fichier. Il existe deux façons de configurer le certificat chaîné à utiliser avec Nginx.

À l'aide de votre éditeur de texte préféré, créez de nouveaux fichiers aux emplacements indiqués ci-dessous. Assurez-vous de remplacer example.com par le nom du domaine sur le serveur.

La première méthode consiste simplement à ajouter les contenus CRT et CA Bundle dans un seul fichier à l'emplacement de certificat approprié. Ceci est illustré dans l'exemple ci-dessous :

Certificat/chaîne SSL - /etc/ssl/certs/2022-example.com.chained.crtClé privée SSL - /etc/ssl/private/2022-example.com.key

La deuxième méthode comprend une étape supplémentaire dans laquelle vous ajoutez le bundle CA en tant que son propre fichier au serveur, puis concaténez les fichiers dans un nouveau fichier. Ceci est illustré dans l'exemple ci-dessous.

SSL Certificate - /etc/ssl/certs/2022-example.com.crt
SSL CA Bundle  - /etc/ssl/certs/2022-example.com.CA.crt
SSL Private Key - /etc/ssl/private/2022-example.com.key

Une fois les fichiers créés, vous pouvez exécuter la commande suivante :

cat /etc/ssl/certs/2022-example.com.crt /etc/ssl/certs/2022-example.com.CA.crt > /etc/ssl/certs/2022-example.com.chained.crt

REMARQUE : Lorsqu'une clé privée est installée avec des autorisations lisibles par le monde entier, elle permet à toute personne ayant accès même à un compte d'utilisateur sur le serveur de déchiffrer toute information chiffrée avec son certificat correspondant. Il est important de s'assurer que le certificat et la clé disposent des autorisations appropriées.

Une fois que les composants du certificat SSL ont été installés aux emplacements appropriés, il est important que nous définissions les autorisations correctes pour le fichier de clé privée.

    chmod 600 /path/to/private/key/file.key

Créer ou modifier des blocs de serveur dans l'hôte virtuel

RHEL/CentOS

Les fichiers d'hôte virtuel spécifient la configuration de nos sites distincts et dictent la manière dont le serveur Web Nginx répondra aux différentes demandes de domaine.

La meilleure pratique de Rackspace stipule que l'hôte virtuel est situé aux emplacements suivants :

• /etc/nginx/conf.d/example.com.conf

Des emplacements alternatifs pour l'hôte virtuel Nginx peuvent être...

• /etc/nginx/conf/httpd.conf (fichier de configuration apache par défaut, également largement utilisé par Webmin)
• /etc/nginx/conf.d/ssl.conf (fichier de configuration global par défaut pour SSL)
• /etc/nginx/vhost.d/example.com.conf (vhost.d est un répertoire créé par l'utilisateur et bien que raisonnablement courant, ce n'est pas la meilleure pratique de Rackspace)

REMARQUE :En raison des configurations que nous avons décrites, tous les fichiers d'hôtes virtuels doivent se terminer par .conf. Pour les besoins de cet exemple, nous supposerons qu'un hôte virtuel pour le port 80 existe déjà dans son propre fichier de configuration.**

Commencez par ouvrir le fichier de l'hôte virtuel dans votre éditeur de texte préféré :

$ vim /etc/nginx/conf.d/example.com.conf

Il y a quelques points à vérifier :

• ServerName/ServerAlias ​​correspond à votre domaine
• Le DocumentRoot correspond au bloc du port 80
• La section Répertoire correspond au bloc du port 80

Vous devrez changer example.com pour le nom de votre site Web et le placer dans votre hôte virtuel :

server {
    listen              443;

    server_name         example.com www.example.com;
    root                /var/www/vhosts/example.com;
    index               index.html;

    ssl                 on;
    ssl_certificate     /etc/pki/tls/certs/2022-example.com.chained.crt;
    ssl_certificate_key /etc/pki/tls/private/2022-example.com.key;

    access_log          /var/log/nginx/example.com_ssl_access.log main;
    error_log           /var/log/nginx/example.com_ssl_error.log;
}

Une fois les modifications apportées aux fichiers de configuration appropriés, enregistrez et quittez le fichier.

Debian/Ubuntu

Les fichiers d'hôte virtuel spécifient la configuration de nos sites distincts et dictent la manière dont le serveur Web Nginx répondra aux différentes demandes de domaine.

La meilleure pratique de Rackspace stipule que l'hôte virtuel est situé aux emplacements suivants :

• /etc/nginx/sites-available/example.com.conf

Ce répertoire est l'emplacement où le fichier de configuration est stocké. Il est ensuite lié symboliquement à /etc/nginx/sites-enabled/example.com.conf

REMARQUE :En raison des configurations que nous avons décrites, tous les fichiers d'hôtes virtuels doivent se terminer par .conf. Pour les besoins de cet exemple, nous supposerons qu'un hôte virtuel pour le port 80 existe déjà dans son propre fichier de configuration.

Commencez par ouvrir le fichier de l'hôte virtuel dans votre éditeur de texte préféré :

vim /etc/nginx/sites-available/example.com.conf

Il y a quelques points à vérifier :

• ServerName/ServerAlias ​​correspond à votre domaine
• Le DocumentRoot correspond au bloc du port 80
• La section Répertoire correspond au bloc du port 80

Vous devrez changer example.com pour le nom de votre site Web et le placer dans votre hôte virtuel :

server {
    listen              443;

    server_name         example.com www.example.com;
    root                /var/www/vhosts/example.com;
    index               index.html;

    ssl                 on;
    ssl_certificate     /etc/pki/tls/certs/2022-example.com.chained.crt;
    ssl_certificate_key /etc/pki/tls/private/2022-example.com.key;

    access_log          /var/log/nginx/example.com_ssl_access.log main;
    error_log           /var/log/nginx/example.com_ssl_error.log;
}

Une fois les modifications apportées aux fichiers de configuration appropriés, enregistrez et quittez le fichier.

Vérifier la syntaxe et activer les blocs de serveur dans Nginx

Maintenant que les blocs Document Root et Server ont été configurés, nous pouvons vérifier la syntaxe de la configuration et recharger Nginx.

AVERTISSEMENT :Les étapes suivantes peuvent entraîner la rupture du processus Apache. Assurez-vous que ces étapes sont suivies à la lettre et que vous vérifiez votre travail après avoir apporté les modifications. Si les modifications que vous apportez entraînent l'arrêt du processus Apache, cela signifie que les domaines sur le serveur sont désormais indisponibles. Annulez toutes les modifications et assurez-vous que le processus Apache est en cours d'exécution ou Appelez l'assistance mondiale de Rackspace

RHEL/CentOS 6

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration NGINX.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe renvoie OK, exécutez la commande suivante pour recharger Nginx :

$ service nginx reload

Une fois NGINX rechargé, n'oubliez pas de vérifier que Nginx fonctionne comme prévu, comme décrit dans la section Prérequis.

Si vous avez apporté des modifications avec PHP-FPM, vous devrez également vérifier la syntaxe de PHP-FPM et recharger.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration PHP-FPM.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger PHP=FPM :

$ service php-fpm reload

RHEL/CentOS 7

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration Nginx.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe renvoie OK, exécutez la commande suivante pour recharger Nginx :

$ systemctl reload nginx

Une fois Nginx rechargé, n'oubliez pas de vérifier que Nginx fonctionne comme prévu, comme décrit dans la section Prérequis.

Si vous avez apporté des modifications avec PHP-FPM, vous devrez également vérifier la syntaxe de PHP-FPM et recharger.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration PHP-FPM.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger PHP=FPM :

$ systemctl reload php-fpm    

Debian/Ubuntu

Afin de vérifier que la syntaxe des fichiers de configuration est correcte, vous devrez exécuter la commande suivante :

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration Nginx.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe renvoie OK, exécutez la commande suivante pour recharger Nginx :

$ systemctl reload nginx

Une fois Nginx rechargé, n'oubliez pas de vérifier que Nginx fonctionne comme prévu, comme décrit dans la section Prérequis.

Si vous avez apporté des modifications avec PHP-FPM, vous devrez également vérifier la syntaxe de PHP-FPM et recharger.

$ php-fpm -t
[16-Jun-2022 09:25:05] NOTICE: configuration file /etc/php-fpm.conf test is successful

Si tout est correct, vous recevrez un message indiquant Syntaxe OK .

Si vous ne voyez pas ce message, cela signifie qu'il peut y avoir un problème de syntaxe dans vos fichiers de configuration PHP-FPM.

AVERTISSEMENT : Ces erreurs devront être corrigées avant de passer à l'étape suivante. Ne continuez pas tant que vous n'avez pas reçu un message de syntaxe OK

Une fois que la vérification de la syntaxe retourne OK, exécutez la commande suivante pour recharger PHP=FPM :

$ systemctl reload php-fpm    

Installer le certificat sur les solutions d'hébergement géré

Si vous avez demandé un certificat SSL pour votre serveur géré Rackspace en soumettant un ticket Rackspace, Rackspace installe le certificat pour vous. Vous devez fournir des détails, y compris l'endroit où vous souhaitez installer le certificat et votre fichier de clé privée.

Installer le certificat sur un domaine Microsoft Azure personnalisé

Par défaut, Azure sécurise .azurewebsites.net domaine générique avec un seul certificat SSL, vous pouvez donc déjà accéder à votre application en utilisant le https://.azurewebsites.net URL.

Toutefois, le certificat SSL Azure par défaut ne fonctionne pas si vous utilisez un domaine personnalisé pour votre application. A custom domain with its own SSL certificate ismore secure than the default. The following sections describe how to add anSSL certificate to an application with a custom domain.

Prerequisite

You need your login credentials for the Azure portal. For information abouthow to log in to the Azure portal, seeSitecore Cloud portals and account management.

Get an SSL certificate

If you do not already have SSL certificate, you need to get one from a trustedCA. The certificate must meet all of the following requirements:

• Signed by a trusted CA (no private CA servers).

• Contains a private key.

• Created for key exchange and exported to a .pfx fichier.

• Uses a minimum of 2048-bit encryption.

• Has a subject name that matches the custom domain it needs to secure. Tosecure multiple domains with one certificate, you need to use a wildcard name(for example, .contoso.com ) or specify the subjectAltName values.

• Merged with all intermediate certificates used by your CA. Otherwise, youmight experience irreproducible interoperability problems on some clients.

For more information on getting a certificate, seegenerate a certificate signing request (CSR)and purchase or renew a Secure Socket Layer (SSL certificate.

Add the SSL certificate to Microsoft Azure

1. Log in to the Azure portal.

2. In the left-side navigation pane, click App services .

3. Select the application to which you want to assign the certificate.

4. Navigate to Settings and then click SSL certificate .

5. Click Upload Certificate .

6. Select the .pfx file that contains your SSL certificate and enter thepassword that you want to use for this certification.

7. Click Upload .

   You can now navigate to the SSL certificate through the application pane.

8. In the SSL bindings section of the SSL certificate pane, clickAdd bindings .

   A new pane labeled SSL Bindings appears.

9. Use the drop-down menus to select the custom domain URL you want to secureby using SSL, followed by the name of SSL certificate. You can also selectwhether to use Server Name Indication (SNI) SSL or IP-based SSL .

10. Click Add binding .

    SSL is now enabled for your custom domain.

Test the certificate

The best way to test a certificate is to use a third-party tool like theQualys® SSLLabs scanner. If you needassistance in improving the security configuration of your certificate, contactRackspace Support.

REMARQUE :If you browse to your website by using the Hypertext Transfer ProtocolSecure (HTTPS) protocol directive, the padlock icon on your browser is displayedin the locked position if your certificates are installed correctly and the serveris properly configured for SSL.

Another way to test the certificate is to go to whynopadlock.com.Enter your URL in Secure Address , and it shows any discrepancies that couldcause the site to be unsecure, such as mixed content issues.

Utilisez l'onglet Commentaires pour faire des commentaires ou poser des questions. Vous pouvez également démarrer une conversation avec nous.