informatique:securite:manip_certificat_ssl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
informatique:securite:manip_certificat_ssl [2023/11/28 16:01] – [Version complète] bn8informatique:securite:manip_certificat_ssl [2025/01/10 08:53] (Version actuelle) – [Activation du SSL sur un VirtualHost] bn8
Ligne 64: Ligne 64:
 ==== Vérifier la concordance d'une clé, d'un CSR et d'un certificat ==== ==== Vérifier la concordance d'une clé, d'un CSR et d'un certificat ====
  
-<code bash> +  * clé privée : <code bash>openssl rsa -noout -modulus -in server.key |openssl md5</code> 
-~# openssl rsa -noout -modulus -in server.key |openssl md5 +  * CSR : <code bash>openssl req -noout -modulus -in server.csr |openssl md5</code> 
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +  * certificat : <code bash>openssl x509 -noout -modulus -in server.crt |openssl md5</code>
-~# openssl req -noout -modulus -in server.csr |openssl md5 +
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +
-~# openssl x509 -noout -modulus -in server.crt |openssl md5 +
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +
-</code>+
  
 ===== Génération d'un certificat SSL auto-signé ===== ===== Génération d'un certificat SSL auto-signé =====
Ligne 104: Ligne 99:
  
 ===== Extraire les certificats d'un fichier PFX ===== ===== Extraire les certificats d'un fichier PFX =====
 +  * clé privée : <code bash>openssl pkcs12 -in server.pfx -nocerts -nodes -out server.key</code>
 +  * certificat : <code bash>openssl pkcs12 -in server.pfx -clcerts -nokeys -out server.crt</code>
  
-<code bash>openssl pkcs12 -in file.pfx -clcerts -nokeys -out domain.crt +<note tip>Si vous rencontrez une erreur du type de celle ci-dessous, ajouter le paramètre ''-legacy'' aux commandes openssl: <code>4037E9E48B7F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:373:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()</code></note>
-openssl pkcs12 -in file.pfx -nocerts -nodes  -out domain.key</code> +
 ===== Utilisation d'un certificat SSL par Apache ===== ===== Utilisation d'un certificat SSL par Apache =====
  
Ligne 155: Ligne 150:
 </code> </code>
  
 +===== Utilisation d'un certificat SSL par OpenSSL =====
 +
 +  * Ajouter l'utilisateur ''openldap'' au groupe ''ssl-cert'' : <code bash>adduser openldap ssl-cert</code>
 +  * Redémarrer OpenLDAP : <code bash>service openldap restart</code>
 +  * Créer une version //fullchain// du certificat : <code bash>cat /etc/ssl/private/ldap.crt /etc/ssl/private/ldap-chain.crt > /etc/ssl/private/ldap-fullchain.crt</code>
 +  * Ajuster les droits du certificat et de la clé : <code bash>chown root:ssl-cert /etc/ssl/private/ldap-fullchain.crt /etc/ssl/private/ldap.key
 +chmod 644 /etc/ssl/private/ldap-fullchain.crt /etc/ssl/private/ldap-chain.crt /etc/ssl/private/ldap.crt
 +chmod 640 /etc/ssl/private/ldap.key
 +</code>
 +  * Configurer le certificat et la clé via les attributs ''olcTLSCertificateFile'' & ''olcTLSCertificateKeyFile'' de l'objet ''cn=config'' de la configuration d'OpenLDAP : <code bash>
 +ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
 +dn: cn=config
 +changetype: modify
 +add: olcTLSCertificateFile
 +olcTLSCertificateFile: /etc/ssl/private/ldap-fullchain.crt
 +-
 +add: olcTLSCertificateKeyFile
 +olcTLSCertificateKeyFile: /etc/ssl/private/ldap.key
 +EOF
 +  * Ajouter ''ldaps:///'' à la variable ''SLAPD_SERVICES'' dans le fichier ''/etc/default/slapd''
 +  * Redémarrer OpenLDAP : <code bash>service openldap restart</code>
 ===== Lister les ciphers supporté par un serveur ===== ===== Lister les ciphers supporté par un serveur =====
  
  • informatique/securite/manip_certificat_ssl.1701187278.txt.gz
  • Dernière modification : 2023/11/28 16:01
  • de bn8