Sécurisation des connexions à Nextcloud et ONLYOFFICE

L’une des tâches les plus élémentaires que nous serons obligés d’accomplir, sera de sécuriser l’accès à Nextcloud et ONLYOFFICE, surtout si nous prévoyons de travailler via Internet. Ainsi, Dans ce document, nous allons voir comment remplacer le trafic HTTP non chiffré par du trafic HTTPS sécurisé, nous verrons dans un premier temps la configuration pour Nextcloud et enfin sur ONLYOFFICE.

Permettre un accès sécurisé à Nextcloud,

Si nous voulons que les utilisateurs accèdent à Nextcloud en toute sécurité, nous devrons installer un certificat sur le serveur Apache de notre Nextcloud. Je suppose que nous aurons déjà quelques FQDN en tête pour ce service, Le certificat doit donc être valide pour ce nom de domaine, ou utilisez un certificat Wildcard et c’est tout! Dans mon scénario, j’utiliserai le nom data.openservices.eus pour faire référence au serveur Nextcloud et évidemment je vais créer l’entrée DNS correspondante dans les zones publique et privée.

Avant de commencer, De quoi avons-nous besoin? Les certificats! Nous devons les présenter dans le bon format, Nous devons avoir le certificat, votre clé privée et la chaîne de certificats de l’autorité de certification. Nous vous faciliterons la tâche, en supposant que j’ai un fichier PFX que j’ai généré sur un autre serveur (IIS sur Windows par exemple), nous allons le copier avec SCP sur le serveur, Et en plus de cela, nous devons rechercher ou faire un fichier avec la chaîne de certificats des entités émettrices, que notre fournisseur de certificats nous l’aura généralement envoyé à ce moment-là 😉

Pour se détacher d’un fichier PFX et obtenir le certificat public d’une part et la clé privée d’autre part, C’est ce que nous pouvons faire avec cet exemple:

[Code source]openSSL PKCS12 -in Wildcard_Open_Services.pfx -clcerts -nokeys -out wildcard_open_services.cer
openSSL PKCS12 -in Wildcard_Open_Services.pfx -nocerts -nodes -out wildcard_open_services.key[/Code source]

Nous commençons par activer le module SSL et éditons le fichier de configuration du site Nextcloud.

[Code source]sudo a2enmod ssl[/Code source]

Nous copions les certificats que nous venons de générer dans le répertoire de certificats Apache ainsi que le fichier contenant toute la chaîne des AC intermédiaires:

[Code source]sudo cp wildcard_open_services.* /etc/apache2/ssl
sudo mv openservices_eus.ca-bundle /etc/apache2/ssl/cadena.crt[/Code source]

Nous modifions le fichier /etc/apache2/sites-enabled/default-ssl.conf pour la configuration du site sécurisé Apache et modifions les entrées qui font référence au certificat, à la clé privée et à la chaîne de certificats:

[Code source]SSLCertificateFile /etc/apache2/ssl/wildcard_open_services.cer
SSLCertificateKeyFile /etc/apache2/ssl/wildcard_open_services.key
SSLCertificateChainFile /etc/apache2/ssl/cadena.crt[/Code source]

Enregistrement et redémarrage d’Apache & nous validons que nous pourrons désormais accéder au site Nextcloud via un https sécurisé:

[Code source]Sudo Service Apache2 Redémarrer[/Code source]

Mettre le site par défaut de Nextcloud dans Apache,

D’ailleurs, si vous voulez éviter à vos utilisateurs d’avoir à taper /nextcloud et donc faire de ce site le site par défaut dans Apache, Nous allons modifier les fichiers de configuration /etc/apache2/sites-enabled/000-default.conf et /etc/apache2/sites-enabled/default-ssl.conf des sites, Modifier l’itinéraire:

[Code source]Racine du document /var/www/nextcloud[/Code source]

Et nous avons redémarré Apache!

[Code source]Sudo Service Apache2 Redémarrer[/Code source]

Permettre un accès sécurisé à ONLYOFFICE,

Si nous voulons sécuriser le trafic et l’accès au serveur de documents, nous devrons installer un certificat SSL dans Nginx, qui est le serveur web que nous utilisons et ainsi crypter vos connexions à l’aide de HTTPS, de plus, à la fin, nous verrons comment changer de port au cas où nous serions intéressés à ouvrir ce scénario à Internet plus tard.

Comme avant, ONLYOFFICE doit également avoir les certificats au format spécifique à Nginx, Nous devons laisser le certificat public dans le dossier du certificat, la clé privée et un certificat avec la chaîne de toutes les AC intermédiaires ou racines.

On se souvient des étapes suivies pour se séparer d’un fichier PFX et obtenir le certificat public d’une part et la clé privée:

De plus,, si nous ne voulons pas avoir de problèmes avec la confiance du certificat, il est recommandé de générer le fichier de certificat avec la chaîne de toutes les AC, Quelque chose comme ça peut nous aider à lui obtenir la commande suivante, qui créera 1 Fichier avec tous les certificats:

[Code source]cat /etc/ssl/certs/wildcard_open_services.cer openservices_eus.ca-bundle > wildcard_open_services_y_cadena.cer[/Code source]

Nous copions les fichiers générés dans le répertoire de certificats, Nous arrêtons Nginx, et créez un fichier de configuration pour un accès sécurisé à ONLYOFFICE:

[Code source]sudo cp wildcard_open_services.* /etc/ssl/certs/
sudo service nginx stop
sudo cp -f /etc/onlyoffice/documentserver/nginx/onlyoffice-documentserver-ssl.conf.template /etc/nginx/conf.d/onlyoffice-documentserver.conf[/Code source]

Nous modifions le fichier de configuration et ajoutons le chemin d’accès au certificat et sa clé privée:

[Code source]sudo vim /etc/nginx/conf.d/onlyoffice-documentserver.conf
ssl_certificate /etc/ssl/certs/wildcard_open_services_y_cadena.cer;
ssl_certificate_key /etc/ssl/certs/wildcard_open_services.key;[/Code source]

D’ailleurs, Il est temps si nous voulons changer de port, le fichier de configuration, Nous modifierons la section où vous écoutez et sélectionnerons le port qui vous intéresse:

[Code source]Écouter 0.0.0.0:4443 S.A.;
Écouter [::]:4443 SSL default_server;[/Code source]

Il suffira de redémarrer Nginx et de vérifier que nous pouvons y accéder via la nouvelle URL, avec HTTPS:// et au port que nous avons spécifié:

[Code source]Sudo service nginx start[/Code source]