Manipulation de certificats SSL
Générer un CSR
Version simple
openssl req -newkey rsa:2048 -subj /CN=example.com -nodes -keyout example.com.key -out example.com.csr
ou
CN="domain.tld" FILE=cert-domain.tld openssl req -newkey rsa:2048 -subj /CN=$CN -nodes -keyout $FILE.key -out $FILE.csr
Version complète
CN="domain.tld" FILE=cert-domain.tld STATE=My State VILLE=My City PAYS=FR ORGA=My Company ORGA_UNIT=My Unit openssl req -new -newkey rsa:2048 -nodes -out $FILE.csr -keyout $FILE.key -subj "/C=$PAYS/ST=$STATE/L=$VILLE/O=$ORGA/OU=$ORGA_UNIT/CN=$CN"
Pour un certificat wildcard, utiliser en CN *.domain.tld.
Pour voir les informations dans un fichier CSR, utiliser la commande suivante :
openssl req -noout -text -in example.com.csr
Génération d'un CSR multi-domaine
Pour un certificat multi-domaine, c'est à dire incluant l’extension subjectAltName permetant la validité du certificat pour un nom de domaine principale ainsi que un ou plusieurs nom de domaine alternatif, voilà comment procéder :
- Copier le fichier de configuration openssl.cnf :
cp /etc/ssl/openssl.cnf /etc/ssl/private/openssl-domaine.tld.cnf
- Modifier la copie :
- Dans
[req]ajouter :req_extensions = v3_req
- Dans
[v3_req]ajouter :subjectAltName = @alt_names
- Ajouter la section suivante :
[alt_names] DNS.1 = alt1.domain.tld DNS.2 = alt2.domain.tld DNS.3 = alt3.domain.tld
- Générer ensuite la CSR normalement (commande openssl req -new ~~~) en ajoutant le paramètre -config /etc/ssl/private/openssl-domaine.tld.cnf
- Une fois généré, vous pourrez constater en affichant le contenu de la CSR, l'utilisation de l'extention X509v3 Subject Alternative Name :
Certificate Request: Data: Version: 0 (0x0) Subject: C=FR, CN=domain.tld Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: [...] Exponent: 65537 (0x10001) Attributes: Requested Extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment X509v3 Subject Alternative Name: DNS:alt1.domain.tld, DNS:alt3.domain.tld, DNS:alt3.domain.tld Signature Algorithm: sha1WithRSAEncryption [...]
Vérifier la concordance d'une clé, d'un CSR et d'un certificat
- clé privée :
openssl rsa -noout -modulus -in server.key |openssl md5
- CSR :
openssl req -noout -modulus -in server.csr |openssl md5
- certificat :
openssl x509 -noout -modulus -in server.crt |openssl md5
Génération d'un certificat SSL auto-signé
Privilégiez lorsque possible l'utilisation d'un certificat valide, par exemple via Let's Encrypt.
Pour faciliter la suite, déclarons une variable d'environnement pour le nom de domaine pour lequel nous devons générer ce certificat :
export FQDN=test.example.com
Générerons ensuite la clé RSA :
openssl genrsa -out /etc/ssl/private/${FQDN}.key 4096 chown root:ssl-cert /etc/ssl/private/${FQDN}.key chmod 640 /etc/ssl/private/${FQDN}.key
Générons ensuite le certificat autosigné :
openssl req -new -x509 -days 3650 -key /etc/ssl/private/${FQDN}.key -out /etc/ssl/certs/${FQDN}.crt chmod 644 /etc/ssl/certs/${FQDN}.crt
Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN).
Paramètres :
-x509: génération d'un certificat auto-signé, et non d'une CSR-days 3650: le certificat sera valable 3650 jours
Voir les informations contenues dans un certificat SSL
Pour un CRT :
openssl x509 -noout -text -in server.pem
Pour un CSR :
openssl req -noout -text -in server.csr
Pour un P12 : le convertir en PEM d'abord (cf. plus bas)
Convertir un P12 en PEM
openssl pkcs12 -out file-out.pem -in file-in.p12
Extraire les certificats d'un fichier PFX
- clé privée :
openssl pkcs12 -in server.pfx -nocerts -nodes -out server.key
- certificat :
openssl pkcs12 -in server.pfx -clcerts -nokeys -out server.crt
Si vous rencontrez une erreur du type de celle ci-dessous, ajouter le paramètre
-legacy aux commandes openssl: 4037E9E48B7F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:373:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()
Utilisation d'un certificat SSL par Apache
Après avoir généré un certificat SSL (cf. methode) :
Configuration générale du module SSL d'Apache
Créer le fichier /etc/apache2/conf-available/ssl.conf :
<IfModule mod_ssl.c> SSLCertificateFile /etc/ssl/certs/server.crt SSLCertificateKeyFile /etc/ssl/private/server.key </IfModule>
ou avec un seul fichier contenant la clé et le certificat :
<IfModule mod_ssl.c> SSLCertificateKeyFile /etc/ssl/private/server.pem </IfModule>
Pour créé le fichier PEM, concaténez la clef privée et le certificat :
cat /etc/ssl/private/server.key /etc/ssl/certs/server.crt > /etc/ssl/private/server.pem
Puis activer ce fichier de configuration :
a2enconf ssl service apache2 restart
Dans le cas de l'utilisation d'une clef certifiée par une autorité fille d'une autorité de certification connue des navigateurs, il faut ajouter une directive pour indiqué la ligné des certificats (appelée chaîne de certification) :
SSLCertificateChainFile cachaine.txt
Activation du module SSL
a2enmod ssl
Activation du SSL sur un VirtualHost
Dans le fichier de définition du VirtualHost :
<VirtualHost *:443> ... SSLEngine On ... </VirtualHost>
Lister les ciphers supporté par un serveur
Script :
#!/bin/bash # OpenSSL requires the port number. SERVER=$1 [ -z "$SERVER" -o "$SERVER" == "-h" ] && echo "Usage : $0 [server:port]" && exit 0 echo -n "Obtaining cipher list from local $(openssl version)..." ciphers=$(openssl ciphers 'ALL:eNULL' | sed -e 's/:/ /g') echo "Check cipher support on server $SERVER :" for cipher in ${ciphers[@]} do echo -n Testing $cipher... result=$(echo -n | openssl s_client -cipher "$cipher" -connect $SERVER 2>&1) if [[ "$result" =~ ":error:" ]] ; then error=$(echo -n $result | cut -d':' -f6) echo NO \($error\) else if [[ "$result" =~ "Cipher is ${cipher}" || "$result" =~ "Cipher :" ]] ; then echo YES else echo UNKNOWN RESPONSE echo $result fi fi done
Usage :
# Usage : list_cipher [server:port]