Juin 022013
 

Depuis Apache 2.2.12, et le support natif du SNI (Server Name Identification), il est possible d’héberger plusieurs sites web sur un seul serveur tout en utilisant différents certificats SSL. Cela vous permet par exemple de protéger différents sous domaines avec plusieurs certificats SSL de classe 1 (qui peuvent être obtenus gratuitement sur StartSSL…) La plupart des navigateurs supportent aujourd’hui le SNI et la mise en place est très simple grâce à ISPConfig 3. Ce post a donc pour objectif de vous guider à travers les étapes nécessaires.

 Prérequis

Je suppose dans ce post que vous disposez déjà d’un serveur fonctionnel avec ISPConfig 3 installé et correctement configuré. Je vous invite, si cela n’est pas le cas, à lire mes précédents posts sur la mise en place d’un serveur de ce type: Installation ISPConfig 3 Je vous conseille également de lire l’article suivant: Sécuriser ISPConfig avec un certificat SSL, ce post vous permettra de mettre en place un certificat global pour votre configuration apache et notamment votre accès ISPConfig. Il vous permettra en plus de vous familiariser avec StartSSL qui vous permettra d’obtenir gratuitement vos certificats SSL signés.

Création d’un site web avec un certificat SSL non signé

Dans un premier temps, nous allons créer un site web et son certificat associé (non signé) entièrement via ISPConfig. Rendez vous pour cela dans l’onglet Site puis sélectionnez Ajouter un nouveau siteVous pouvez, bien évidemment, choisir un site déjà existant…

ISPConfig 3, création d'un site web

ISPConfig Création Site Web

Entrez les paramètres souhaités, n’oubliez pas de cocher la cas SSL sur la 4ième avant dernière ligne. Cliquez ensuite sur l’onglet SSL vous arrivez sur la page suivante:

Création d'un site ISPConfig, onglet SSL

Création site ISPConfig, onglet SSL

Cette page vous permet de créer entièrement votre certificat SSL via ISPConfig en créant automatiquement la clé privée, la requête CSR et un certificat (non signé.) Rentrez pour cela les paramètres demandés. (Attention, la traduction ISPConfig en français souffre d’une erreur et la première ligne concerne en réalité l’état ou le département)
Il est inutile de remplir les champs SSL key, Requête SSL, Certificat SSL ou encore SSL Bundle. Choisissez Créer le certificat dans le champ Action SSL puis cliquez sur Enregistrer.

Continue reading »

Mar 162013
 

Ce post fait suite à la première partie de l’installation complète d’un serveur web/mail/ftp/… disponible à l’adresse suivante: Installation Partie 1

A ce stade, vous devez donc disposer d’un serveur sous debian (squeeze) avec le network configuré et un accès ssh (local ou distant.) La première partie de l’installation permet d’effectuer les quelques vérifications fondamentales avant de commencer l’installation. (Entre autre la bonne configuration du réseau, nom de machine etc.)

Il est donc temps de passer à l’installation des différentes dépendances.

Installation de Postfix, Courier, Saslauthd, MySQL, rkhunter, binutils

Nous commençons par la mise en place du serveur mail, de MySQL ainsi que de différents outils nécessaires à la sécurité.

Vous aurez à répondre aux questions suivantes:

General type of mail configuration: <– Internet Site
System mail name: <– nomdeserveur.exemple.com
New password for the MySQL « root » user: <– votremdpsql
Repeat password for the MySQL « root » user: <– votremdpsql
Create directories for web-based administration? <– No
SSL certificate required <– Ok

N’oubliez pas de bien noter votre mot de passe MySQL. Il vous sera nécessaire par la suite.
Nous allons également modifier la configuration de MySQL pour que l’écoute se fasse sur toutes les interfaces du serveur (et non uniquement Localhost)

Commentez la ligne bind-address = 127.0.0.1
Votre fichier my.cnf doit ressembler à cela:

[…]
# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
#bind-address = 127.0.0.1
[…]

On peut dès à présent vérifier le bon fonctionnement de MySQL:

Doit renvoyer:
root@server1:~# netstat -tap | grep mysql
tcp        0      0 *:mysql                 *:*                     LISTEN      10457/mysqld
root@server1:~#

Il est également nécessaire de recréer les certificats SSL pour courier. (Ceux-ci sont créés avec le hostname localhost. On souhaite les recréer pour intégrer le nom de notre serveur (nomdeserveur.exemple.com.)
On commence par supprimer les certificats présents:

On modifie ensuite les deux fichiers imapd.cnf et pop3d.cnf en remplacant le paramètre CN=localhost par CN=nomdeserver.exemple.com

[…]
CN=server1.example.com
[…]

[…]
CN=server1.example.com
[…]

Puis on recrée les certificats:

Il ne reste plus qu’à redémarrer le serveur courier:

Installation de Amavisd-new, SpamAssassin, And Clamav

Suit l’installation de l’antispam et antivirus, plus leur dépendances, que l’on lancera avec la commande suivante:

Nous pouvons stopper le processus spamassassin et le supprimer du script de démarrage automatique car ISPConfig a sa propre façon de le lancer via amavisd.