Passage du blog en https-only

Contexte

Cet article est la suite du précédent

Création du certificat

fichier de conf

J'ai crée un fichier de conf .cnf principalement basé sur les conseils de l'EFF mais aussi en prenant des trucs chez jeveuxhttps.fr :

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
default_md = sha256
default_bits = 4096

[req_distinguished_name]
countryName = FR
countryName_default = FR
stateOrProvinceName = France
stateOrProvinceName_default = France
localityName = France
localityName_default = France
organizationalUnitName  = Vigdis
organizationalUnitName_default  = Vigdis
commonName = chown.me
commonName_default = chown.me
commonName_max  = 64

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment

Toutes les options sont données comme ça lors qu'on génère le cert on a plus qu'à appuyer sur entrée de manière répétitive (un peu comme quand on installe/upgrade une OpenBSD :p)

création de la clé

Il ne reste plus à créer une clé puis générer une demande de signature de certificat (le .csr) qu'on peut vérifier avant de la donner à gandi.

openssl genrsa -out chown.key 4096
openssl req -new -out chown.csr -key chown.key -config chown.cnf
openssl req -in chown.csr -noout -text |less

Obtention du certificat chez gandi

C'est vraiment simple à suivre, et sinon c'est bien expliqué sur la page de jeveuxhttps.

modification de httpd.conf

Comme je n'ai plus qu'un domaine, j'ai transformé les domaines en "location" : coincoin.chown.me devient donc chown.me/coincoin :

    location "/blog*" {
            root "/blog"
            root strip 1
    }

    location "/iota*" {
            root "/iota"
            root strip 1
            directory auto index
    }

    location "/obsd*" {
            root "/obsd/www"
            root strip 1
    }

etc.

Merci à quinq pour son aide sur ce point j'ai du mal à cause d'une erreur de jugement :p

Un petit coup de neuf sur haproxy

J'ai lu Why your A grade SSL is 'outdated cryptography' on Chrome qui dit du bien du générateur de config de mozilla. J'ai donc modifié légèrement ma conf de haproxy pour prendre celle de modern. C'est cool, ça désactive le tls 1.0 :) (et j'ai un A+ sur ssllabs mais pas la peine d'essayer, je ratelimit mes connexions http donc l'ip de ssllabs va se faire bannir et le test ne pourra pas finir).

By Vigdis in
Tags : #blog, #tls, #https,
g+ linkedin email