Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
informatique:securite:manip_certificat_ssl [2019/03/12 15:10]
bn8 [Version complète]
informatique:securite:manip_certificat_ssl [2019/10/16 14:56] (Version actuelle)
bn8 [Génération d'un certificat SSL auto-signé]
Ligne 75: Ligne 75:
 <note important>​Privilégiez lorsque possible l'​utilisation d'un certificat valide, par exemple via [[informatique:​securite:​letsencrypt|Let'​s Encrypt]].</​note>​ <note important>​Privilégiez lorsque possible l'​utilisation d'un certificat valide, par exemple via [[informatique:​securite:​letsencrypt|Let'​s Encrypt]].</​note>​
  
-Nous commençons par générer la bi-clé RSA, qui peut être protégée par une passphrase. ​Pour se faciliter la vieon peut ne rien mettre ​pour la phrase ​de passeCeci nous évite de devoir la retaper à chaque redémarrage du serveur.+Pour faciliter la suitedéclarons une variable d'​environnement ​pour le nom de domaine pour lequel nous devons générer ce certificat : <code bash>​export FQDN=test.example.com</​code> ​
  
-<code bash>​openssl genrsa -out server.key 1024</​code>​+Générerons ensuite la clé //RSA// : <code bash>​openssl genrsa -out /​etc/​ssl/​private/​${FQDN}.key 4096 
 +chown root:​ssl-cert /​etc/​ssl/​private/​${FQDN}.key 
 +chmod 640 /​etc/​ssl/​private/​${FQDN}.key</​code>​
  
-Nous générons ​ensuite le certificat autosigné : <code bash>​openssl req -new -x509 -days 365 -key server.key -out server.crt</​code>​+Générons ​ensuite le certificat autosigné : <code bash>​openssl req -new -x509 -days 3650 -key /​etc/​ssl/​private/​${FQDN}.key -out /​etc/​ssl/​certs/​${FQDN}.crt 
 +chmod 644 /​etc/​ssl/​certs/​${FQDN}.crt</​code>​
  
-Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN). ​Sinon, nous aurons un message comme quoi le nom du propriétaire du certificat et du site ne correspond pas. +Dans les questions posées, il faut faire attention au champ Common Name (eg, YOUR name) : Il faut mettre le nom du serveur (FQDN).
- +
-  * -x509 : génération d'un certificat autosigné, et non d'une simple requête +
-  * -days 365 : le certificat est valable 365 jours +
-  * -key server.key : la clé publique est extraite de la bi-clé précédente +
-  * -out server.crt : le certificat est copié +
- +
-Le certificat n'est pas signé par une autorité de certification (type verisign). Ainsi, lors de son utilisation,​ le browser affichera une anomalie. Pour information,​ sur verisign.fr,​ un certificat 40 bits coûte 450€ par an et un certificat pro de 128 bits coûte 1150€ par an. +
- +
-**Pour vérifier le bon usage du certificat :** <code bash>​openssl x509 -in server.crt -text -noout</​code>​+
  
 +**Paramètres :**
 +  * **''​-x509''​ :** génération d'un certificat auto-signé,​ et non d'une //CSR//
 +  * **''​-days 3650''​ :** le certificat sera valable 3650 jours
 ===== Voir les informations contenues dans un certificat SSL ===== ===== Voir les informations contenues dans un certificat SSL =====