Chapter 24. TP sur le serveur WEB sécurisé

Apollonie Raffalli

Revision History
Revision 0.128 Novembre 2004

Table of Contents

Présentation du TP
Les paquets à installer
Etape 1 : La création des certificats
Création du certificat serveur
Création du certificat de l'autorité de certification
La signature du certificat serveur par le CA (Certificate Autority)
Installation du certificat d'autorité de certification
Etape 2 : configuration d'Apache2
Activation du module ssl
Configuration du port
Configuration du virtual host

Abstract

L'objectif de ce TP est de développer une sécurité concernant l'authentification d'un serveur HTTP (le navigateur doit être certain de se connecter au "bon" serveur et les données qui transitent doivent être cryptées).

Préalable :

  • apache2 est installé et le service démarre sans problème ;

  • vous avez lu le cours sur les notions de base du chiffrement ;

  • vous avez fait les 6 TP sur le serveur HTTP et notamment le dernier concernant les serveurs virtuels.

Présentation du TP

L'accès à un serveur web utilise le protocole http via le réseau Internet. Il est tout à fait possible à un pirate d'intercepter vos requêtes (votre code de carte bleue) et les réponses faites par le serveur car les informations circulent "en clair" sur le réseau.

De plus, il n'est pas certain que vous soyez en cours de consultation du site que vous croyez (aucun mécanisme d'authentification des parties n'est mis en oeuvre au niveau du protocole HTTP).

Le protocole HTTPS (HTTP over SSL) permet de remédier à ces deux inconvénients :

  • les échanges sont cryptés (la requête resterait illisible pour le pirate) ;

  • l'authentification SSL du serveur est mis en oeuvre : on est assuré que le serveur auquel on accède est bien celui que l'on croit.

HTTPS offre d'autres possibilités qui ne sont pas abordées ici (par exemple, authentifier la personne qui accède au serveur).

Au cours de ce TP, vous allez mettre en place le protocole SSL sur votre serveur WEB.

Dans le TP6, vous avez configuré un serveur virtuel auquel l'on accède avec l'url "http://wiki.domain1.org" ; c'est ce serveur que l'on va sécuriser.