informatique:securite:manip_certificat_ssl

Ceci est une ancienne révision du document !

Manipulation de certificats SSL

Génération d'un certificat SSL auto-signé

Nous commençons par générer la bi-clé RSA, qui peut être protégée par une passphrase. Pour se faciliter la vie, on peut ne rien mettre pour la phrase de passe. Ceci nous évite de devoir la retaper à chaque redémarrage du serveur. 

openssl genrsa -out server.key 1024

Nous générons ensuite le certificat autosigné 

openssl req -new -x509 -days 365 -key server.key -out server.crt

Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN). Sinon, nous aurons un message comme quoi le nom du propriétaire du certificat et du site ne correspond pas.

  • -x509 : génération d'un certificat autosigné, et non d'une simple requête
  • -days 365 : le certificat est valable 365 jours
  • -key server.key : la clé publique est extraite de la bi-clé précédente
  • -out server.crt : le certificat est copié

Le certificat n'est pas signé par une autorité de certification (type verisign). Ainsi, lors de son utilisation, le browser affichera une anomalie. Pour information, sur verisign.fr, un certificat 40 bits coûte 450€ par an et un certificat pro de 128 bits coûte 1150€ par an.

Pour vérifier le bon usage du certificat : 

openssl x509 -in server.crt -text -noout

Voir les informations contenues dans un certificat SSL

Pour un CRT : 

openssl x509 -noout -text -in server.pem

Pour un CSR : 

openssl req -noout -text -in server.csr

Pour un P12 : le convertir en PEM d'abord (cf. plus bas)

Convertir un P12 en PEM

openssl pkcs12 -out file-out.pem -in file-in.p12

Utilisation d'un certificat SSL par Apache

Après avoir généré un certificat SSL (cf. methode) :

Configuration générale du module SSL d'Apache

Créer le fichier /etc/apache2/conf.d/ssl : 

<IfModule mod_ssl.c>
  SSLCertificateFile    /etc/apache2/ssl/server.crt
  SSLCertificateKeyFile /etc/apache2/ssl/server.key
</IfModule>

ou 

<IfModule mod_ssl.c>
  SSLCertificateKeyFile /etc/apache2/ssl/server.pem
</IfModule>

NB : un fichier .pem est la concaténation de la clef privée et du certificat : 

cat server.key > apache.pem
cat server.crt >> apache.pem

NB2 : dans le cas de l'utilisation d'une clef certifié par une autorité fille d'une Autorité de certification connue des navigateurs, il faut ajouté une directive pour indiqué la ligné des certificats : 

SSLCertificateChainFile cachaine.txt

Activation du module SSL

a2enmod ssl

Activation du SSL sur un VirtualHost

Dans le fichier de définition du VirtualHost : 

<VirtualHost *:443>
   ...
   SSLEngine On
   ...
</VirtualHost>
  • informatique/securite/manip_certificat_ssl.1398157637.txt.gz
  • Dernière modification : 2014/04/22 09:07
  • de bn8