Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:securite:manip_certificat_ssl [2019/02/04 18:14] – [Génération d'un certificat SSL auto-signé] bn8
+++ informatique:securite:manip_certificat_ssl [2019/10/15 14:28] – [Génération d'un certificat SSL auto-signé] bn8
@@ Ligne 33: / Ligne 33: @@
   * Copier le fichier de configuration //openssl.cnf// : <code>cp /etc/ssl/openssl.cnf /etc/ssl/private/openssl-domaine.tld.cnf</code>
   * Modifier la copie :
-    * Dans //[req]]// ajouter : <code ini>req_extensions = v3_req</code>
+    * Dans ''%%[req]%%'' ajouter : <code ini>req_extensions = v3_req</code>
-    * Dans //[v3_req]// ajouter : <code ini>subjectAltName = @alt_names</code>
+    * Dans ''%%[v3_req]%%'' ajouter : <code ini>subjectAltName = @alt_names</code>
     * Ajouter la section suivante : <code ini>[alt_names]
 DNS.1 = alt1.domain.tld
@@ Ligne 75: / Ligne 75: @@
 <note important>Privilégiez lorsque possible l'utilisation d'un certificat valide, par exemple via [[informatique:securite:letsencrypt|Let's Encrypt]].</note>
-Nous commençons par générer la bi-clé RSA, qui peut être protégée par une passphrase. Pour se faciliter la vie, on peut ne rien mettre pour la phrase de passe. Ceci nous évite de devoir la retaper à chaque redémarrage du serveur.
+Pour faciliter la suite, déclarons une variable d'environnement pour le nom de domaine pour lequel nous devons générer ce certificat : <code bash>export FQDN=test.example.com</code>
-<code bash>openssl genrsa -out server.key 1024</code>
+Générerons ensuite la clé //RSA// : <code bash>openssl genrsa -out /etc/ssl/private/${FQDN}.key 4096
+chown root:ssl-cert /etc/ssl/private/${FQDN}.key
+chmod 640 /etc/ssl/private/${FQDN}.key</code>
-Nous générons ensuite le certificat autosigné : <code bash>openssl req -new -x509 -days 365 -key server.key -out server.crt</code>
+Générons ensuite le certificat autosigné : <code bash>openssl req -new -x509 -days 3650 -key /etc/ssl/private/${FQDN}.key -out /etc/ssl/certs/${FQDN}.crt
+chmod 644 /etc/ssl/certs/${FQDN}.crt</code>
-Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN). Sinon, nous aurons un message comme quoi le nom du propriétaire du certificat et du site ne correspond pas.
+Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN).
-  * -x509 : génération d'un certificat autosigné, et non d'une simple requête
-  * -days 365 : le certificat est valable 365 jours
-  * -key server.key : la clé publique est extraite de la bi-clé précédente
-  * -out server.crt : le certificat est copié
-Le certificat n'est pas signé par une autorité de certification (type verisign). Ainsi, lors de son utilisation, le browser affichera une anomalie. Pour information, sur verisign.fr, un certificat 40 bits coûte 450€ par an et un certificat pro de 128 bits coûte 1150€ par an.
-**Pour vérifier le bon usage du certificat :** <code bash>openssl x509 -in server.crt -text -noout</code>
+**Paramètres :**
+  * **''-x509'' :** génération d'un certificat auto-signé, et non d'une //CSR//
+  * **''-days 365'' :** le certificat sera valable 365 jours
 ===== Voir les informations contenues dans un certificat SSL =====