Guide pratique de mise en œuvre d'un serveur WebDAV sous Apache avec LDAP et SSL

J'ai commencé à écrire ce document en 2001. Un grand nombre de mises à jour et de rajouts ont été faits depuis. Je remercie tous ceux qui m'ont soumis des mises à jour et des corrections.

Le code source XML DocBook de la plus récente version française de ce document à l'adresse : ftp://ftp.traduc.org/pub/traduc.org/doc-vf/HOWTO/telechargement/sgml/Apache-WebDAV-LDAP-HOWTO.xml.

Vous trouverez la plus récente version française de ce document à l'adresse : http://www.traduc.org/docs/howto/lecture/Apache-WebDAV-LDAP-HOWTO.html.

La code source au format XML de la version originale ce document est disponible à http://www.xml-dev.com/xml/Apache-WebDAV-LDAP-HOWTO.xml.

La dernière version originale de ce document est disponible à http://www.xml-dev.com:8080/tldp/http://cvsview.tldp.org/index.cgi/*checkout*/LDP/howto/docbook/Apache-WebDAV-LDAP-HOWTO.xml.

Si vous désirez contribuer à la version originale de ce guide pratique, vous pouvez télécharger le code source XML de http://www.xml-dev.com/xml/Apache-WebDAV-LDAP-HOWTO.xml, et envoyer le fichier source modifié à <saqib CHEZ seagate POINT com> AVEC VOTRE NOM DANS LA LISTE D'AUTEURS ET DANS L'HISTORIQUE DES VERSIONS :) Cela sera plus facile pour moi de contacter la personne en cas de mises à jour ou de corrections. Je vous remercie.

Le serveur HTTP Apache est un serveur HTTP open-source pour systèmes d'exploitation modernes comme UNIX et Windows NT. Il fournit des services HTTP conformes aux standards HTTP actuels.

Le serveur Web Apache peut être téléchargé librement de http://httpd.apache.org/

WebDAV signifie Web enabled Distributed Authoring and Versioning, c'est-à-dire gestion de publication et de configuration sur Internet. Il fournit un environnement partagé aux utilisateurs pour éditer/gérer leurs fichiers sur les serveurs Web. Techniquement, DAV est une extension du protocole http.

Voici une brève description des extensions fournies par DAV :

Protection contre l'écrasement : mécanisme de verrouillage et de déverrouillage pour éviter les problèmes de synchronisation de mises à jour. Le protocole DAV supporte les accès exclusifs et partagés.

Propriétés : méta-données (titre, sujet, créateur, et cætera)

Gestion des attributs de fichiers : copier, renommer, déplacer et supprimer des fichiers

Contrôle d'accès : limitation d'accès à des ressources diverses. Généralement, DAV considère qu'un contrôle d'accès est déjà en place, et ne fournit pas de mécanisme d'authentification robuste.

Gestion des versions : contrôle de versions des documents. Le contrôle des versions n'est pas encore mis en œuvre.

PHP (acronyme récursif pour Processeur Hypertexte PHP) : c'est un langage de scripts open source à usage général qui est particulièrement adapté au développement Web et qui peut être associé à du HTML.

On peut se procurer PHP de http://www.php.net

MySQL, la base de données SQL open source la plus populaire, est développée, distribuée, et maintenue par MySQL AB

On peut télécharger le moteur de base de données de MySQL de http://www.mysql-fr.com/

Les outils nécessaires sont :

	N.B. :
	tous ces paquets sont libres, téléchargeables sur Internet.

Nous considérons que vous avez déjà installé les éléments suivants dans votre système.

Il vous faudra une machine sous Solaris ou Linux et un compilateur GCC. Vous aurez aussi besoin de GNU gzip et de GNU tar.

Apache est le serveur HTTP, et on l'utilisera pour faire tourner le serveur Web applicatif. Téléchargez les sources d'Apache 2.0.46 depuis http://www.apache.org/dist/httpd/.

Il vous faudra télécharger OpenSSL de http://www.openssl.org/source/. Téléchargez la dernière version. L'installation d'OpenSSL sera utilisée pour compiler mod_ssl avec Apache à l'aide des bibliothèques SSL, et pour gérer les certificats SSL sur le serveur Web. Téléchargez les sources d'OpenSSL compressées par gzip dans /tmp/downloads

Téléchargez le SDK de iPlanet LDAP de http://wwws.sun.com/software/download/products/3ec28dbd.html. Nous utiliserons le SDK d'iPlanet LDAP, parce qu'il comprend les bibliothèques pour ldaps:// (LDAP over SSL) :

Nous utiliserons mod_auth_ldap pour compiler le support LDAP avec Apache. Téléchargez mod_auth_ldap de http://www.muquit.com/muquit/software/mod_auth_ldap/mod_auth_ldap_apache2.html

Téléchargez les exécutables mySQL pour votre plate-forme de http://www-fr.mysql.com/downloads/index.html

Téléchargez les sources de PHP de http://www.php.net/downloads.php

Pour installer le serveur d'application, nous avons besoin des bibliothèques SSL et LDAP. Le moteur SSL est lui aussi nécessaire pour gérer les certificats SSL dans Apache 2.x

$ su -

# mkdir /usr/local/iplanet-ldap-sdk.5
# cp /tmp/downloads/ldapcsdk5.08-Linux2.2_x86_glibc_PTH_OPT.OBJ.tar /usr/local/iplanet-ldap-sdk.5
# cd /usr/local/iplanet-ldap-sdk.5
# tar -xvf ldapcsdk5.08-Linux2.2_x86_glibc_PTH_OPT.OBJ.tar

# cd /tmp/download
# gzip -d openssl.x.x.tar.gz
# tar -xvf openssl.x.x.tar
# cd openssl.x.x
# make
# make test
# make install

L'installation de mySQL est très simple. Les binaires téléchargés doivent être placés dans le répertoire approprié.

Nous commençons par créer un utilisateur:groupe pour le démon mysql, et copions les fichiers dans les répertoires appropriés.

# groupadd mysql
# useradd -g mysql mysql
# cd /usr/local
# gunzip < /path/to/mysql-VERSION-OS.tar.gz | tar xvf -
# ln -s full-path-to-mysql-VERSION-OS mysql

Puis nous lançons le script install_db et changeons les permissions des fichiers

# cd mysql
# scripts/mysql_install_db
# chown -R mysql .

# bin/mysqld_safe --user=mysql &

# ps -ef | grep mysql
root  3237    1 0 May29 ? 00:00:00 /bin/sh bin/safe_mysqld
mysql 3256 3237 0 May29 ? 00:06:58 /usr/local/mysql/bin/mysqld --defaults-extra-file=/usr/local/mysql/data/my.cnf --basedir=/usr/local/mysql --datadir=/usr/local/mysql/data --user=mysql --pid-file=/usr/local/mysql/data/download

# cd /usr/local/mysql
# ./bin/mysqladmin -u root -p shutdown

# /usr/local/mysql/bin/mysqladmin variables -u root --password={votre_mot_de_passe} | grep datadir

Commençons par rajouter quelques options de compilation

# export LDFLAGS="-L/usr/local/iplanet-ldap-sdk.5/lib/ -R/usr/local/iplanet-ldap-sdk.5/lib/:/usr/local/lib"
# export CPPFLAGS="-I/usr/local/iplanet-ldap-sdk.5/include"

Puis décompressez les sources d'Apache 2.0 avec UNTAR, et exécutez le script de configuration.

# cd /tmp/download
# gzip -d httpd-2.0.46.tar.gz
# tar -xvf httpd-2.0.46.tar
# cd httpd-2.0.46
#./configure --enable-so --with-ssl --enable-ssl --enable-rewrite --enable-dav

Exécutez ensuite la commande make

# make
# make install

# /usr/local/apache2/bin/apachectl start

# /usr/local/apache2/bin/apachectl stop

Décompressez modauthldap_apache2.tar.gz avec Untar

cd /tmp/download
# gzip -d modauthldap_apache2.tar.gz
# tar -xvf modauthldap_apache2.tar
# cd modauthldap_apache2

À présent, configurez et installez mod_auth_ldap

# ./configure --with-apxs=/usr/local/apache2/bin/apxs --with-ldap-dir=/usr/local/iplanet-ldap-sdk.5/
# make
# make install

Vous devrez aussi télécharger cert7.db and key7.db des sites http://www.xml-dev.com/xml/key3.db et http://www.xml-dev.com/xml/cert7.db et les placer dans le répertoire /usr/local/ssl.

Décompressez les fichiers source de PHP avec Unzip

gzip -d php-xxx.tar.gz
tar -xvf php-xxx.tar

Exécutez les commandes configure puis make

cd php-xxx
./configure --with-mysql --with-apxs=/usr/local/apache2/bin/apxs

Compilez le code source

# make
# make install

Copiez le fichier php.ini dans le répertoire approprié

cp php.ini-dist /usr/local/lib/php.ini

Vérifiez que la directive Apache suivante apparaît dans le fichier /usr/local/apache/conf/httpd.conf :

Addmodule mod_dav.c

Si elle n'y est pas, ajoutez la. Cette directive informe Apache du support des fonctionnalités de DAV. La directive doit être placée à l'extérieur des conteneurs.

Ensuite nous devons déterminer où Apache stockera le fichier DAVLockDB. DAVLockDB est une base de données de verrouillage pour WebDAV. le processus httpd doit avoir les droits en écriture dans ce répertoire.

J'enregistre le fichier DAVLock sous /usr/local/apache/var. J'utilise aussi ce répertoire pour d'autres besoins. Ajoutez la ligne suivante dans votre fichier /usr/local/apache/conf/httpd.conf pour préciser que le fichier DAVLockDB est situé dans le répertoire /usr/local/apache/var :

DAVLockDB /usr/local/apache/var/DAVLock

La directive doit être placée à l'extérieur des conteneurs.

Comme il est mentionné plus haut, il faut créer un répertoire pour DAVLockDB auquel le processus du serveur Web doit pouvoir accéder en écriture. D'habitude, le processus du serveur Web s'exécute sous l'utilisateur « nobody ». Vérifiez-le sur votre système en utilisant la commande :

ps -ef | grep httpd

à partir de /usr/local/apache. Créez le répertoire et définissez ces permissions en utilisant les commandes suivantes :

# cd /usr/local/apache
# mkdir var
# chmod -R 755 var/
# chown -R nobody var/
# chgrp -R nobody var/

Donner l'accès à DAV est une tâche insignifiante. Pour autoriser DAV à accéder à un répertoire situé sous la racine d'Apache, ajoutez simplement la directive suivante dans le conteneur de cette directive particulière :

DAV On

Cette directive autorisera DAV à accéder au répertoire et à ses sous-répertoires.

Ce qui suit est un exemple de configuration activant WebDAV et le service d'authentification LDAP dans /usr/local/apache/htdocs/DAVtest. Placez ceci dans le fichier /usr/local/apache/conf/httpd.conf.

DavLockDB /tmp/DavLock
<Directory "/usr/local/apache2/htdocs/DAVtest">
  Options Indexes FollowSymLinks
  AllowOverride None
  order allow,deny 
  allow from all
  AuthName "SMA Development server"
  AuthType Basic
  LDAP_Debug On
  #LDAP_Protocol_Version 3
  #LDAP_Deref NEVER
  #LDAP_StartTLS On
  LDAP_Server you.ldap.server.com
  #LDAP_Port 389
  # If SSL is on, must specify the LDAP SSL port, usually 636
  LDAP_Port 636
  LDAP_CertDbDir /usr/local/apache2/sslcert
  Base_DN "o=SDS"
  UID_Attr uid
  DAV On
  #require valid-user
  require valid-user
  #require roomnumber "123 Center Building"
  #require filter "(&(telephonenumber=1234)(roomnumber=123))"
  #require group cn=rcs,ou=Groups
</Directory>

Comme il est mentionné dans une section précédente, le processus du serveur Web doit avoir les droits en écriture dans tous les répertoires DAV. Dans cet exemple nous considérons que le serveur Web s'exécute sous l'utilisateur « nobody ». La plupart du temps c'est le cas. Pour vérifier sous quel utilisateur httpd s'exécute, saisissez :

# ps -ef | grep httpd

Créez un répertoire nommé « DAVtest » dans le répertoire /usr/local/apache/htdocs :

# mkdir /usr/local/apache/htdocs/DAVtest

Changez les permissions du répertoire pour le rendre accessible au processus httpd en lecture et écriture. Considérant que httpd s'exécute sous l'utilisateur « nobody », utilisez les commandes suivantes :

# cd /usr/local/apache/htdocs
# chmod -R 755 DAVtest/
# chown -R nobody DAVtest/
# chgrp -R nobody DAVtest/

Pour finir, vous devez exécuter la routine du test de configuration fournie avec Apache pour vérifier la syntaxe du fichier httpd.conf :

# /usr/local/apache/bin/apachectl configtest

S'il y a des messages d'erreur, vérifiez que vous avez suivi correctement toutes les étapes mentionnées ci-dessus. Si vous n'arrivez pas à comprendre ce que signifie le message d'erreur, n'hésitez pas à m'envoyer un courrier électronique (en anglais) avec le message d'erreur (<saqib CHEZ seagate POINT com>).

Si le test de configuration a réussi, démarrez le serveur Web Apache :

# /usr/local/apache/bin/apachectl restart

À présent, vous avez un serveur WebDAV Apache utilisant LDAP pour l'authentification et SSL pour le chiffrement.

Il est très important que le serveur WebDAV que nous venons juste d'installer soit totalement compatible avec le protocole WebDAV-2. S'il n'est pas totalement compatible, les applications WebDAV côté client pourront ne pas fonctionner correctement.

Pour tester la compatibilité nous utiliserons un outil nommé Litmus. Litmus est une suite de tests de compatibilité avec le protocole d'un serveur WebDAV, qui est destinée à tester si un serveur est compatible avec le protocole WebDAV selon les spécifications de la norme RFC2518.

Téléchargez les sources de Litmus du site http://www.webdav.org/neon/litmus/ et placez les dans le répertoire /tmp/downloads

Puis utilisez gzip et tar pour extraire les fichiers :

# cd /tmp/downloads
# gzip -d litmus-0.6.x.tar.gz
# tar -xvf litmus-0.6.x.tar
# cd litmus-0.6.x

Il est facile de compiler et d'installer Litmus :

# ./configure
# make
# make install

make install installera les fichiers binaires de Litmus dans les répertoires /usr/local/bin et les fichiers d'aide dans /usr/local/man

Pour tester la compatibilité du serveur WebDAV que vous venez d'installer, recourez à la commande suivante

# /usr/local/bin/litmus http://you.dav.server/DAVtest userid passwd

Dans la section précédente, quand nous avons créé le partage DAVtest, nous avons utilisé LDAP pour l'authentification. Cependant, n'importe qui pouvant s'authentifier en utilisant son compte_utilisateur/mot_de_passe pourra accéder à ce dossier.

En utilisant la directive require dans le fichier httpd.conf, vous pouvez limiter l'accès à certains individus ou groupes d'individus.

Si nous regardons la configuration de DAVtest de la précédente section :

<Directory /usr/local/apache/htdocs/DAVtest>

Dav On
#Options Indexes FollowSymLinks
AllowOverride None
order allow,deny
allow from all
AuthName "LDAP_userid_password_required"
AuthType Basic

<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>

Require valid-user

</Limit>

LDAP_Server ldap.server.com
LDAP_Port 389
Base_DN "o=ROOT"
UID_Attr uid

</Directory>

nous voyons que la commande require a pour paramètre valid-user. Ce qui signifie que n'importe quel utilisateur authentifié peut accéder à ce dossier.

On peut avoir besoin de limiter l'accès en écriture aux ressources des partages DAV à une certaine personne, en laissant toutefois n'importe qui voir les ressources. On peut le faire facilement en utilisant les balises <Limit> dans le fichier httpd.conf

<Directory /usr/local/apache/htdocs/DAVtest>
Dav On
#Options Indexes FollowSymLinks
AllowOverride None
order allow,deny
allow from all
AuthName "LDAP_userid_password_required"
AuthType Basic

<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>

Require valid-user

</Limit>

LDAP_Server ldap.server.com
LDAP_Port 389
Base_DN "o=ROOT"
UID_Attr uid
</Directory>

Vous limiterez l'accès en écriture à certains utilisateurs en changeant la balise <limit> en

<Limit PUT POST DELETE PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>

Require 334455

</Limit>

En fait, nous limitons les méthodes PUT POST DELETE PROPPATH MKCOL COPY MOVE LOCK et UNLOCK à l'utilisateur qui a pour UID 334455. N'importe qui d'autre pourra employer les méthodes GET et PROPFIND pour les ressources, mais aucune autre méthode.

SSL (Secure Socket Layer) est une couche protocolaire qui se situe entre la couche Réseau et la couche Application. Comme son nom le suggère, SSL fournit un mécanisme de déchiffrement pour toutes sortes de trafic : LDAP, POP, IMAP et plus important, HTTP.

Ce qui suit est une structure ultra simplifiée des couches impliquées par SSL.

+-------------------------------------------+
|   LDAP   |   HTTP   |    POP   |   IMAP   |
+-------------------------------------------+
|                    SSL                    | 
+-------------------------------------------+
|               Couche réseau               |
+-------------------------------------------+

6.1.1. Algorithmes de cryptographie utilisés par SSL

SSL utilise trois sortes de techniques de cryptographie : les systèmes de clés publiques-privées, de clés symétriques et de signatures numériques.

Chiffrement par clés publiques-privées — Initialisation d'une connexion SSL : dans cet algorithme, le chiffrement et le déchiffrement sont effectués en utilisant une paire de clés publiques et privées. Le serveur Web détient la clé privée, et envoie la clé publique au client dans le certificat.

1. Le client demande un contenu au serveur Web en utilisant HTTPS.

2. Le serveur Web répond en envoyant un certificat numérique qui comprend la clé publique du serveur.

3. Le client vérifie si le certificat est expiré.

4. Puis le client vérifie si l'autorité de certification qui a signé le certificat est une autorité de confiance figurant dans la liste du navigateur. Ceci explique pourquoi il est nécessaire d'obtenir un certificat d'une autorité de certification de confiance.

5. Puis, le client vérifie si le nom de domaine pleinement qualifié (FQDN) du serveur Web coïncide avec le Nom Commun (Common Name CN) du certificat.

6. Si tout est correct, la connexion SSL est initialisée.

N.B. :

On ne peut déchiffrer ce qui a été chiffré avec une clé privée qu'avec sa clé publique. De la même façon, on ne peut déchiffrer ce qui a été chiffré avec une clé publique qu'avec sa clé privée. C'est une erreur répandue de penser qu'une clé publique est utilisée pour le chiffrement et que la clé privée est utilisée pour le déchiffrement. Ce n'est pas le cas. On peut utiliser les deux clés pour chiffrer ou déchiffrer. Cependant, si on utilise une clé pour chiffrer, alors l'autre clé devra servir à déchiffrer. Par exemple On ne peut chiffrer un message puis le déchiffrer en utilisant uniquement une clé publique. L'utilisation d'une clé privée pour chiffrer et d'une clé publique pour déchiffrer garantit l'identité de l'émetteur (qui est le propriétaire de la clé publique) à ses destinataires. L'utilisation d'une clé publique pour chiffrer et d'une clé privée pour déchiffrer garantit que seul le destinataire (qui est le propriétaire de la clé publique) accédera aux données. (c'est-à-dire que seul le détenteur de la clé privée pourra déchiffrer le message).

Chiffrement symétrique — Transmission effective des données : une fois la connexion SSL établie, on utilise le chiffrement symétrique, qui est moins consommateur en cycles de processeur. Avec le chiffrement symétrique, on peut chiffrer et déchiffrer les données en utilisant la même clé. La clé de chiffrement symétrique est échangée durant le processus d'initialisation, en utilisant la clé de chiffrement publique.

Sommation de messages Le serveur utilise des algorithmes de sommation de messages comme HMAC, SHA-1, MD5 pour vérifier l'intégrité des données transférées.

           Clef privée              Clef publique
          de l'émetteur            du destinataire
          ,-.                     ,-.
         (   )..........         (   )..........
          `-' ''''|'|'||          `-' ''''''''||
                  | |                    |
                  | |                    |
   .----------.   | |    .----------.    |     .----------.
   |  Texte   |   V |    |   Texte  |    V     |   Texte  |
   |   en     |--------->|  chiffré |--------->|  chiffré |
   |  clair   | Étape1   |     1    | Étape2   |     2    |\
   `----------'     |    `----------'          `----------' \    __
         |          |                                        \   [_'
         |          |                                  Étape5 \   |
         |Étape3    |                                       __  --|--
         |          |                                  _.--'      |
         V          |                            _..-''          / \
    .---------.     |    .---------.       _..-''            Destinataire
    |  SHA 1  |     V    |Signature| _..-''
    |SomMessag|--------->|numérique|'
    `---------' Étape4   `---------' 
              _  ___ ___
        _    (_)/  _)  _)                                      _
   ____| |__  _ | |_| |_ ____ _____ _____  _____  _____ ____ _| |_
  / ___)  _ \| ||  _)  _) ___) ___ |  _  \|  _  \| ___ |  _ (_   _)
 ( (___  | | | || | | || |   | ____| || | | || | | ____| | | || |_
  \____)_| |_|_||_| |_||_|   |_____)_||_|_|_||_|_|_____)_| |_| \__)

           Clef privée          Clef publique
         du destinataire        de l'émetteur
         ,-.                     ,-.
        (   )..........         (   )..........
         `-' ''''''''||          `-' '''''''|||
                |                      |    |
                |                      |    |
  .----------.  |       .----------.   |    | .----------.
  |  Texte   |  V       |  Texte   |   V    | |  Texte   |       .---No1---.
  | chiffré  |--------->| chiffré  |--------->|   en     |------>|  SHA 1  |
  |    2     | Étape1   |    1     | Étape2 | |  clair   |Étape3 |SomMessag|
  `----------'          `----------'        | `----------'       `---------'
                                            |                        ||
                                            |                        ||Étape5
                                            |                        ||
                                            |                        ||
                               .---------.  |                    .---------.
                               | Digital |  V                    |  SHA 1  |
                               |Signature|---------------------->|SomMessag|
                               `---------' Étape4                `---No2---'
     _    _              _  ___ ___
    | |  //        _    (_)/  _)  _)                                      _
  __| |_____  ____| |__  _ | |_| |_ ____ _____ _____  _____  _____ ____ _| |_
 / _  | ___ |/ ___)  _ \| ||  _)  _) ___) ___ |  _  \|  _  \| ___ |  _ (_   _)
( (_| | ____( (___  | | | || | | || |   | ____| || | | || | | ____| | | || |_
 \____|_____)\____)_| |_|_||_| |_||_|   |_____)_||_|_|_||_|_|_____)_| |_| \__)

Lorsque nous compilons Apache, nous créons un certificat de test. Nous avons utilisé le makefile fourni par mod_ssl pour créer ce certificat sur mesure. Nous avons utilisé la commande :

# make certificate TYPE=custom

Nous pourrons utiliser ce certificat à des fins de test.

Il est nécessaire d'obtenir un certificat d'une Autorité de Certification de confiance (nommée ci-après AC) pour une utilisation en production. Les autorités de certification sont des vendeurs de certificats, qui figurent dans la liste des AC de confiance de chaque navigateur. Comme on l'a précisé dans la section des algorithmes de cryptographie, si l'AC ne figure pas dans la liste des autorités de confiance, un message d'alerte s'affichera quand l'utilisateur essayera de se connecter à un site sécurisé.

Les certificats de test provoqueront eux aussi l'apparition d'un message d'alerte dans le navigateur de l'utilisateur.

Pour être signée, une CSR (Certificate Signature Request: Demande de Signature de Certificat) doit être envoyée à une AC de confiance. Cette section montre comment on crée une CSR, et comment on l'envoie à l'AC de son choix.

# openssl req

Pour créer une CSR, on peut recourir à cette commande comme suit :

# cd /usr/local/apache/conf/
# /usr/local/ssl/bin/openssl req -new -nodes -keyout private.key -out public.csr
Generating a 1024 bit RSA private key
............++++++
....++++++
writing new private key to 'private.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:California
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Seagate 
Organizational Unit Name (eg, section) []:Global Client Server
Common Name (eg, YOUR name) []:xml.seagate.com
Email Address []:saqib@seagate.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:badpassword
An optional company name []:

« PRNG not seeded »

Si le fichier /dev/random n'existe pas sur votre système, le message d'erreur « PRNG not seeded » s'affichera. Dans ce cas, vous pouvez utiliser la commande suivante : # /usr/local/ssl/bin/openssl req -rand mon_fichier.ext -new -nodes -keyout private.key -out public.csr Remplacez le fichier mon_fichier.ext par le nom d'un fichier existant dans votre système. Vous pouvez spécifier n'importe quel fichier. Openssl utilisera ce fichier pour générer le noyau. Sur Solaris 9 on trouve le fichier /dev/random . Cependant, il est possible que vous ayez à installer le correctif 112438 pour accéder à /dev/random

Arrivé là, vous devrez répondre à plusieurs questions concernant votre serveur pour générer la CSR.

N.B. : Votre Common Name (CN) est le nom DNS pleinement qualifié (FQDN) de votre serveur web, c'est-à-dire dav.server.com . Si vous saisissez quelque chose d'autre, ça ne marchera PAS. Mettez de côté le mot de passe pour un usage ultérieur.

Une fois le processus achevé, un fichier private.key et un fichier public.csr seront présents dans votre arborescence. Il vous faudra envoyer le fichier public.csr à l'autorité de certification. À ce stade, le fichier public.key n'est pas chiffré. pour le chiffrer, saisissez :

# mv private.key private.key.unecrpyted
# /usr/local/ssl/bin/openssl rsa -in private.key.unecrpyted -des3 -out private.key

une fois que l'autorité de certification aura traitée votre demande, elle vous renverra un certificat codé (certificat numérique). Le certificat numérique est au format défini par la norme X.509 v3. Les lignes qui suivent montre la structure d'un certificat numérique conforme à X509 v3 (version française entre parenthèses)

# openssl verify server.crt
server.crt: OK

# openssl x509 -text -in server.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 312312312 (0x0)
        Signature Algorithm: md5WithRSAEncryption
	Issuer: C=US, O=GTE Corporation, CN=GTE CyberTrust Root
        Validity
            Not Before: Feb  8 03:25:50 2000 GMT
            Not After : Feb  8 03:25:50 2001 GMT
	    Subject: C=US, ST=New York, L=Pelham, O=xml-dev, OU=web, CN=www.xml-dev.com/Email=saqib@xml-dev.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
		............
		............
                Exponent: 65537 (0x10001)
    Signature Algorithm: md5WithRSAEncryption
    	............
	............

#   Server Certificate:
#   Point SSLCertificateFile at a PEM encoded certificate.  If
#   the certificate is encrypted, then you will be prompted for a
#   pass phrase.  Note that a kill -HUP will prompt again.  Keep
#   in mind that if you have both an RSA and a DSA certificate you
#   can configure both in parallel (to also allow the use of DSA
#   ciphers, etc.)
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
#SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server-dsa.crt

#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/private.key
#SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server-dsa.key

La clé privée RSA conservée sur le serveur Web est d'habitude chiffrée, et il vous faut une phrase de passe pour parcourir le fichier. Voilà pourquoi quand Apache est lancé avec modssl, une phrase de passe vous est demandée :

# apachectl startssl
Apache/1.3.23 mod_ssl/2.8.6 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide us with the pass phrases.
Server your.server.dom:443 (RSA)
Enter pass phrase:

Il est très important de chiffrer une clé privée RSA. Si un pirate s'empare de votre clé privée RSA non chiffrée, il pourra facilement emprunter l'identité de votre serveur Web. Si la clé est chiffrée, la seule chose que pourra faire le pirate est de tenter une attaque en force brute sur votre phrase de passe. L'utilisation d'une phrase de passe robuste (c'est-à-dire longue) est encouragée.

Cependant, le fait de chiffrer la clé peut parfois être gênant, dans la mesure où vous devrez saisir la phrase de passe à chaque démarrage du serveur Web. En particulier si vous utilisez les scripts rc pour lancer le serveur Web au démarrage, le processus de démarrage sera stoppé sur l'invite de saisie d'une phrase de passe.

Vous pouvez facilement vous débarrasser de l'invite de saisie de la phrase de passe en déchiffrant la clé. Cependant, assurez-vous que personne ne pourra s'emparer de cette clé. Je ne saurais trop vous recommander d'appliquer les lignes de conduite de durcissement et de sécurisation du serveur avant de déchiffrer la clé du serveur Web.

Pour déchiffrer la clé :

tout d'abord, faites une copie de la clé chiffrée

# cp server.key server.key.cryp

Puis recréez la clé avec chiffrement. L'invite vous demandera la phrase de passe de la clé chiffrée d'origine

# /usr/local/ssl/bin/openssl rsa -in server.key.cryp -out server.key
read RSA key Enter PEM pass phrase: writing RSA key

Une façon de sécuriser la clé privée non chiffrée est de limiter l'accès en lecture à l'utilisateur root :

# chmod 400 server.key