Installation serveur web Apache - php

Mise à jour : Debian 10.4 / Buster

L'installation décrite ici concerne un serveur web apache avec le langage de programmation php.

En Annexe sont indiqués

comment créer des hôtes virtuels permettant d'héberger plusieurs sites sur un même serveur
comment sécuriser Apache avec un certificat Let's Encrypt

Sommaire

1 - Installation du serveur apache

Installer le paquet apache2

$ sudo aptitude install apache2

Vérifier l'accessibilité du serveur sur la boucle locale avec l'une ou l'autre commande

$ firefox http://127.0.0.1
$ firefox http://localhost

La page par défaut (index.html) s'affiche avec le bandeau "It works!" Cette page est située dans le répertoire

/var/www/html/

2 - Commandes

Par défaut, apache est démarré automatiquement lors du démarrage du PC et il n'est pas nécessaire de relancer apache pour faire prendre en compte des modifications qui concernent les sites.
Néanmoins, les commandes usuelles de systemd sont disponibles pour le service apache2.service:
Status du service

$ sudo systemctl status apache2

Démarrage / Arrête démarrage à la mise sous tension

$ sudo systemctl enable apache2
$ sudo systemctl disable apache2

Arrêt, démarrage, redémarrage :

$ sudo systemctl [stop|start|restart] apache2.service

S'il apparaît un message d'erreur du type :

AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message

donner un nom au serveur, permettra de supprimer l'erreur

# echo "ServerName localhost" >> /etc/apache2/apache2.conf

3 - Lancement

Toute adresse située ou résolue sur la boucle locale peut-être utilisée pour lancer le fichier par défaut de nom /var/www/html/index.html

Afficher le fichier hosts

$ cat /etc/hosts
127.0.0.1        localhost
127.0.1.1  buster.lan      buster
....

Les commandes suivantes sont équivalentes

$ firefox http://127.0.0.1
$ firefox http://localhost
$ firefox http://127.100.10.27
$ firefox http://buster.lan
$ firefox http://buster

Si aucun ficher n'est indiqué et que le fichier index.html est absent, le contenu du répertoire est affiché

4 - Installation du langage php

Installer la dernière version disponible de php avec la commande

$ sudo aptitude install php

Vérifier la bonne installation, pour cela :
- Créer, avec les droits administrateur, un fichier index.php et le placer dans le répertoire sur lequel point http://localhost

$ echo "<?php phpinfo();?>" |sudo tee /var/www/html/index.php

Lancer le navigateur

$ firefox http://localhost/index.php

Une page avec les caractéristiques du php s'affiche

Annexe 1 - Hôtes virtuels

Par défaut, apache héberge un site situé dans le répertoire /var/www/html. Pour héberger plusieurs sites de façon indépendante, des sous-répertoires de /var/www sont utilisés et on parle alors de Virtual Hosts.

L'installation décrite ci-dessous est reprise de

1 - Création d'un hôte virtuel

Créer un sous-répertoire dans /var/www par hôte virtuel. Si un nom de domaine est associé à l'hôte, il est usuel d'utiliser ce nom pour le sous-répertoire. Ci-dessous, le site est associé au domaine mondomaine.xyz

$ sudo mkdir -p /var/www/mondomaine.xyz

Changer le propriétaire du répertoire afin de faciliter l'accès à son auteur

$ sudo chown -R $USER:$USER /var/www/mondomaine.xyz/

Créer un fichier racine (index.html) pour le test

$ nano /var/www/mondomaine.xyz/index.html 
<html>
        <head>
               <meta charset="UTF-8">
                <title>Bienvenue sur mondomaine.xyz</title>
        </head>
        <body>
                <h1>Félicitations! L'hôte virtuel "mondomaine.xyz" fonctionne</h1>
        </body>
</html>

Créer, par hôte virtuel, un fichier de configuration sur le modèle de /etc/apache2/sites-available/000-default.conf

$ sudo nano /etc/apache2/sites-available/mondomaine.xyz.conf
<VirtualHost *:80>
 
    ServerName mondomaine.xyz
   ServerAlias www.mondomaine.xyz
      ServerAdmin webmaster@localhost
     DocumentRoot /var/www/mondomaine.xyz

    <Directory /var/www/mondomaine.xyz>
           Options -Indexes +FollowSymLinks
            AllowOverride All
           </Directory>

      ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Vérifier la configuration

$ sudo apache2ctl configtest
Syntax OK

Faire prendre en compte le fichier

$ sudo a2ensite mondomaine.xyz.conf 
Enabling site mondomaine.xyz.
To activate the new configuration, you need to run:
  systemctl reload apache2

$ sudo systemctl reload apache2

Vérifier que la page s'affiche correctement en utilisant le nom de domaine et l'alias

$ firefox http://mondomaine.xyz
$ firefox http://www.mondomaine.xyz

2 - Gestion des hôtes virtuels

Désactivation du site par défaut /var/www/html

$ sudo a2dissite 000-default.conf

$ sudo systemctl reload apache2

Désactivation ou activation d'un hôte

$ sudo a2dissite mondomaine.xyz.conf
$ sudo a2ensite mondomaine.xyz.conf

$ sudo systemctl reload apache2

Annexe 2 - Certificat SSL via Let's encrypt :

1 - Terminologie - Principe

Certificate = Clé publique SSL ou fichier du certificat
Private key = Clé privée associée au certificat
Certificate chain = Chaîne de confiance entre l'autorité certifiée (Let's Encrypt par exemple) et le certificat du domaine certifié
Let's Encrypt est une autorité de confiance (CA) automatique et ouverte qui fournit gratuitement des certificats SSL/TLS utilisé généralement pour chiffrer des communications à des fins de sécurité et de confidentialité, le cas le plus connu étant HTTPS
Let's Encrypt repose sur le protocole ACME (Automatic Certificate Management Environment) pour délivrer, révoquer et renouveller les certificats
Certbot est un utilitaire gratuit et libre principalement utilisé pour gérer les certificats SSL/TLS certificates délivrés par Let's Encrypt

2 - Prérequis

Il est nécessaire de disposer d'un nom de domaine enregistré avec un enregistrement DNS de type A pointant vers l'adresse IPv4 du serveur. Dans ce qui suit, www.mondomaine.xyz est pris comme exemple

Vérifier la présence de l'enregistrement de type A pour le nom de domaine (ou sous-domaine)

$ host -t A www.mondomaine.xyz
www.mondomaine.xyz has address 109.9.177.167

Vérifier qu'il pointe sur l'adresse du serveur

$ curl -4 icanhazip.org
109.9.177.167

3 - Installation

Installer certbot et l'addon d'intégration apache

$ sudo aptitude install certbot python-certbot-apache

4 - Création d'un certificat

https://www.howtoforge.com/how-to-manage-lets-encrypt-ssl-tls-certificates-with-certbot/

Création et installation d'un certificat pour un site apache2

Installation en mode interactif

$ sudo certbot run

ou bien en fournissant les informations en options

$ sudo certbot run --apache ....

Liste des certificats présents

$ sudo certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Attempting to parse the version 1.4.0 renewal configuration file found at /etc/letsencrypt/renewal/jitsi.mondomaine.xyz.conf with version 0.31.0 of Certbot. This might not work.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: mondomaine.xyz
    Domains: mondomaine.xyz www.mondomaine.xyz
    Expiry Date: 2020-08-13 16:56:28+00:00 (VALID: 88 days)
    Certificate Path: /etc/letsencrypt/live/mondomaine.xyz/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/mondomaine.xyz/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Le renouvellement des certificats s'effectue automatiquement via systemd

$ sudo systemctl list-timers |grep certbot
Wed 2020-05-13 17:58:43 CEST  3h 59min left         Wed 2020-05-13 09:46:21 CEST  4h 12min ago         certbot.timer                        certbot.service

Pour renouveler manuellement un ou des certificats

$ sudo certbot renew

Pour révoquer un ou des certificats

$ sudo certbot revoke --cert-name mondomaine.xyz

Pour supprimer un ou des certificats

$ sudo certbot delete

Pour créer un certificat sans l'installer (le serveur web doit-être en fonctionnement et en écoute sur le port 80)

mode interactif

$ sudo certonly --webroot

en fournissant les informations en options

$ sudo certonly --webroot --webroot-path /var/www/html \
--agree-tos -m your_email@example.co \
-d www.mondomaine.xyz

5 - Test

Vérifier que le site est accessible en mode https sans avoir à accorder d'autorisations supplémentaires