Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:securite:manip_certificat_ssl [2024/03/01 17:12] – [Extraire les certificats d'un fichier PFX] bn8
+++ informatique:securite:manip_certificat_ssl [2025/01/10 08:53] (Version actuelle) – [Activation du SSL sur un VirtualHost] bn8
@@ Ligne 150: / Ligne 150: @@
 </code>
+===== Utilisation d'un certificat SSL par OpenSSL =====
+  * Ajouter l'utilisateur ''openldap'' au groupe ''ssl-cert'' : <code bash>adduser openldap ssl-cert</code>
+  * Redémarrer OpenLDAP : <code bash>service openldap restart</code>
+  * Créer une version //fullchain// du certificat : <code bash>cat /etc/ssl/private/ldap.crt /etc/ssl/private/ldap-chain.crt > /etc/ssl/private/ldap-fullchain.crt</code>
+  * Ajuster les droits du certificat et de la clé : <code bash>chown root:ssl-cert /etc/ssl/private/ldap-fullchain.crt /etc/ssl/private/ldap.key
+chmod 644 /etc/ssl/private/ldap-fullchain.crt /etc/ssl/private/ldap-chain.crt /etc/ssl/private/ldap.crt
+chmod 640 /etc/ssl/private/ldap.key
+</code>
+  * Configurer le certificat et la clé via les attributs ''olcTLSCertificateFile'' & ''olcTLSCertificateKeyFile'' de l'objet ''cn=config'' de la configuration d'OpenLDAP : <code bash>
+ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
+dn: cn=config
+changetype: modify
+add: olcTLSCertificateFile
+olcTLSCertificateFile: /etc/ssl/private/ldap-fullchain.crt
+-
+add: olcTLSCertificateKeyFile
+olcTLSCertificateKeyFile: /etc/ssl/private/ldap.key
+EOF
+  * Ajouter ''ldaps:///'' à la variable ''SLAPD_SERVICES'' dans le fichier ''/etc/default/slapd''
+  * Redémarrer OpenLDAP : <code bash>service openldap restart</code>
 ===== Lister les ciphers supporté par un serveur =====