Une remarque avant de commencer, selon votre version d’Apache les chemins vers les différents fichiers/dossiers peuvent changer. Cette documentation a été écrite avec Apache2.2.21.

Les premières étapes sont des commandes DOS, la première chose est donc d’ouvrir une invite de commande (Démarrer -> Exécuter -> cmd -> OK)

1 – Se rendre dans le répertoire de d’apache

cd C:\wamp\bin\apache\Apache2.2.21\bin

2 – Générer le la clef privé

On va commencer par générer la clé privée, elle se trouvera dans le fichier « private.key » ici le chiffrage est de 2048bits.

openssl genrsa -aes256 -out private.key 2048

Si vous rencontrez l’erreur « L’ordinal 296 …. SSLEAY32.dll » :

La solution est de se rendre sur cette page : http://slproweb.com/products/Win32OpenSSL.html et de télécharger Win32 OpenSSL v1.0.0k Light une fois installé il faut se déplacer dans le répertoire/sous-répertoires d’installation afin de copier les fichiers suivants :

• ssleay32.dll
• libeay32.dll
• openssl.exe

Pour les coller dans le dossier C:\wamp\bin\apache\Apache2.2.21\bin (en confirmant les remplacements). Le problème devrait alors être corrigé et la commande précédente s’exécuter correctement.

3 – Supprimer la passphrase

On va libérer la clé privée de la « passphrase » qui la protège.

openssl rsa -in private.key -out private.key

4 – Générer le certificat auto-signé

Nous allons ici générer le certificat auto-signé qui servira à certifier la connexion et à en chiffrer les échanges.

Ici le certificat sera valide 100 ans, remplacez donc 36500 par le nombre de jours de validité du certificat. Ensuite l’invite de commande vous demandera quelques informations libres à vous de les saisir. Notre certificat portera le nom : « certificat.crt »

openssl req -new -x509 -nodes -sha1 -key private.key
-out certificat.crt -days 36500
-config C:\wamp\bin\apache\apache2.2.21\conf\openssl.cnf

5 – Copier le certificat et la clef privée

Maintenant que notre certificat et notre clef privée sont générés il nous faut les stocker sur le serveur. Pour ce faire rendez-vous dans le dossier C:\wamp\bin\apache\Apache2.2.21\conf et créez deux dossiers « cert » et « key ».

• Copier certificat.crt dans le dossier « cert »
• Copier private.key dans le dossier « key »

6 – Édition des fichiers de configurations

Afin d’installer notre certificat, nous devons éditer trois fichiers de configuration, les deux premiers permettrons d’activer SSL pour Apache et PHP et le troisième permettra d’installer le certificat sur le serveur.

• Editer C:\wamp\bin\apache\Apache2.2.21\conf\httpd.conf

Dé-commenter les lignes (enlever le « # ») suivantes :

LoadModule ssl_module modules/mod_ssl.so

et

Include conf/extra/httpd-ssl.conf

• Editer C:\wamp\bin\php\php5.3.8\php.ini

Dé-commenter la ligne (enlever le « ; ») suivante

extension=php_openssl.dll

• Editer C:\wamp\bin\apache\Apache2.2.21\conf\extra\httpd-ssl.conf

Rechercher la ligne : <VirtualHost _default_:443>

Sous cette ligne, effectuer les recherche/remplacement suivant :

• Remplacer la ligne « DocumentRoot … » par :

DocumentRoot "c:/wamp/www/"

• Remplacer la ligne « ServerName … » par :

ServerName localhost:443

• Remplacer la ligne « ErrorLog … » par :

ErrorLog "c:/wamp/bin/apache/Apache2.2.21/logs/ssl_error.log"

• Remplacer la ligne « TransferLog … » par :

TransferLog "c:/wamp/bin/apache/Apache2.2.21/logs/ssl_access.log"

• Remplacer la ligne « SSLCertificateFile … » par :

SSLCertificateFile "c:/wamp/bin/apache/Apache2.2.21/conf/cert/certificat.crt"

• Remplacer la ligne « SSLCertificateKeyFile … » par :

SSLCertificateKeyFile "c:/wamp/bin/apache/Apache2.2.21/conf/key/private.key"

• Remplacer la ligne « <Directory …> » par :

<Directory "c:/wamp/www/">

• Remplacer la ligne « CustomLog … » par :

CustomLog "C:/wamp/bin/apache/Apache2.2.21/logs/ssl_request.log" \

Voici quelques explication concernant les paramètres que l’on viens de modifier :

• DocumentRoot : définit le dossier racine du serveur
• ServerName : définit le nom du serveur et son port d’écoute (443 étant le port SSL par défaut)
• ErrorLog : définit l’emplacement du journal d’erreur
• TransferLog : définit l’emplacement du journal des accès
• SSLCertificateFile : définit l’emplacement du certificat
• SSLCertificateKeyFile : définit l’emplacement de la clef privée
• <Directory …> : définit les propriétés sur dossier racine
• CustomLog : définit l’emplacement du journal des requêtes

7 – Vérifier la configuration

Dans une invite de commande tapez la commande suivante

httpd -t

Ce dernier doit retourner « Syntax OK », si tel n’est pas le cas, il doit y avoir une erreur dans le fichier « httpd-ssl.conf », il faut donc retourner à l’étape précédente et vérifier la configuration.

8 – Redémarrer Wamp

Il faut redémarrer Wamp afin que les différentes modifications soient prises en compte.

9 – L’accès à https://localhost/ doit être possible

Le message suivant nous indique que la connexion n’est pas certifiée, il faut accepter les risques, c’est normal puisque notre certificat est auto-signé. Cette erreur n’apparaîtrait pas si le certificat aurait été acheté auprès d’une autorité de certification.

Voilà, le certificat est installé avec succès.

• Effectuer une sauvegarde du certificat avec mot de passe

cp server.key server.key.backup

• Supprimer le mot de passe

openssl rsa -in server.key -out server.key.nopass

• Corriger les permissions sur le nouveau certificat

chmod 400 server.key.nopass

Attention, cette manipulation abaisse le niveau de sécurité, puisque n’importe quelle personne arrivant à obtenir votre clé pourra l’utiliser et donc usurper votre identité. En effet, par défaut la clé RSA est encryptée, et le mot de passe sert donc à la décrypter. Une fois le mot de passe supprimé, la clé ne sera plus stockée encryptée.

Photo