Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:lemp_phpmyadmin [2020/09/17 00:05] – francoisa
+++ technique:lemp_phpmyadmin [2020/10/05 01:42] – francoisa
@@ Ligne 381: / Ligne 381: @@
 systemctl restart nginx
+</code>
+On n'oublie pas d'ouvrir les ports 8080 :
+<code>
+ufw status # pour voir les ports ouverts
+apt-get install ufw # si pas installé
+ufw allow 8080
 </code>
@@ Ligne 400: / Ligne 409: @@
 - Personnaliser les virtualhosts à partir de ces sockets.
-===== Cas des certificats Let's Encrypt pour SSL =====
+===== Cas des certificats pour SSL =====
-Des certifcats autosignés suffiraient. Voir [[https://letsencrypt.org/fr/getting-started/|Let's encrypt]] (AC) et le client ACME [[https://certbot.eff.org/|Certbot]]
+Des certifcats autosignés suffiraient. [[https://letsencrypt.org/fr/getting-started/|Let's encrypt]] (AC) et le client ACME [[https://certbot.eff.org/|Certbot]] ne sont utiles que pour des domaines valides (pas des docmaines locaux internes)
-Installation du client certbort pour générer des certificats :
+Pour la création de certificats autosignés, installer openssl :
 <code>
-apt-get install certbot python-certbot-nginx
+apt-get install openssl
 </code>
+==== Créer des certificats ====
+<code>
+openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
+</code>
+Réponses à apporter :
+<code>
+Country Name (2 letter code) [AU]:FR
+State or Province Name (full name) [Some-State]:Paris
+Locality Name (eg, city) []:Paris
+Organization Name (eg, company) [Internet Widgits Pty Ltd]:CEMEA
+Organizational Unit Name (eg, section) []:DSI
+Common Name (e.g. server FQDN or YOUR name) []:salles.cemea.lan
+Email Address []:informatique@cemea.asso.fr
+</code>
+Création d'un groupe Diffie-Hellman
+<code>
+openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
+</code>
+==== Configuration Nginx ====
+Création d'une conf dédiée générique en éditant ''/etc/nginx/snippets/self-signed.conf''
+<code>
+ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
+ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
+</code>
+Création d'une conf dédiée générique avec chiffrement fort en éditant ''/etc/nginx/snippets/ssl-params.conf ''
+<code>
+# from https://cipherli.st/
+# and https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
+ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
+ssl_prefer_server_ciphers on;
+ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
+ssl_ecdh_curve secp384r1;
+ssl_session_cache shared:SSL:10m;
+ssl_session_tickets off;
+ssl_stapling on;
+ssl_stapling_verify on;
+resolver 1.1.1.1 9.9.9.9 valid=300s;
+resolver_timeout 5s;
+# Disable preloading HSTS for now.  You can use the commented out header line that includes
+# the "preload" directive if you understand the implications.
+#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
+add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
+add_header X-Frame-Options DENY;
+add_header X-Content-Type-Options nosniff;
+ssl_dhparam /etc/ssl/certs/dhparam.pem;
+</code>
+Edition d'une configuration pour un site dédié en https : ''/etc/nginc.sites-enable/salles''
+<code>
+server {
+    listen 80 default_server;
+    listen [::]:80 default_server;
+    server_name server_domain_or_IP;
+    return 302 https://$server_name$request_uri;
+}
+server {
+    # SSL configuration
+    listen 443 ssl http2 default_server;
+    listen [::]:443 ssl http2 default_server;
+    include snippets/self-signed.conf;
+    include snippets/ssl-params.conf;
+}
+</code>
+Vérification de Nginx et redémarrage
+<code>
+nginx -t
+systemctl restart nginx
+</code>
+Et le certificat est en place