informatique:securite:manip_certificat_ssl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
informatique:securite:manip_certificat_ssl [2019/10/16 12:56] – [Génération d'un certificat SSL auto-signé] bn8informatique:securite:manip_certificat_ssl [2024/03/01 17:12] (Version actuelle) – [Extraire les certificats d'un fichier PFX] bn8
Ligne 27: Ligne 27:
 <note>Pour un certificat wildcard, utiliser en //CN// //*.domain.tld//.</note> <note>Pour un certificat wildcard, utiliser en //CN// //*.domain.tld//.</note>
  
-=== Génération d'un CSR multi-domaine ===+<note tip>Pour voir les informations dans un fichier CSR, utiliser la commande suivante : <code bash>openssl req -noout -text -in example.com.csr</code></note> 
 + 
 +==== Génération d'un CSR multi-domaine ====
  
 Pour un certificat multi-domaine, c'est à dire incluant l’extension //subjectAltName// permetant la validité du certificat pour un nom de domaine principale ainsi que un ou plusieurs nom de domaine alternatif, voilà comment procéder : Pour un certificat multi-domaine, c'est à dire incluant l’extension //subjectAltName// permetant la validité du certificat pour un nom de domaine principale ainsi que un ou plusieurs nom de domaine alternatif, voilà comment procéder :
Ligne 62: Ligne 64:
 ==== Vérifier la concordance d'une clé, d'un CSR et d'un certificat ==== ==== Vérifier la concordance d'une clé, d'un CSR et d'un certificat ====
  
-<code bash> +  * clé privée : <code bash>openssl rsa -noout -modulus -in server.key |openssl md5</code> 
-~# openssl rsa -noout -modulus -in server.key |openssl md5 +  * CSR : <code bash>openssl req -noout -modulus -in server.csr |openssl md5</code> 
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +  * certificat : <code bash>openssl x509 -noout -modulus -in server.crt |openssl md5</code>
-~# openssl req -noout -modulus -in server.csr |openssl md5 +
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +
-~# openssl x509 -noout -modulus -in server.crt |openssl md5 +
-XXXXXXXXXXXXXXXXXXXXXcfbf186e13f +
-</code>+
  
 ===== Génération d'un certificat SSL auto-signé ===== ===== Génération d'un certificat SSL auto-signé =====
Ligne 102: Ligne 99:
  
 ===== Extraire les certificats d'un fichier PFX ===== ===== Extraire les certificats d'un fichier PFX =====
 +  * clé privée : <code bash>openssl pkcs12 -in server.pfx -nocerts -nodes -out server.key</code>
 +  * certificat : <code bash>openssl pkcs12 -in server.pfx -clcerts -nokeys -out server.crt</code>
  
-<code bash>openssl pkcs12 -in file.pfx -clcerts -nokeys -out domain.crt +<note tip>Si vous rencontrez une erreur du type de celle ci-dessous, ajouter le paramètre ''-legacy'' aux commandes openssl: <code>4037E9E48B7F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:373:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()</code></note>
-openssl pkcs12 -in file.pfx -nocerts -nodes  -out domain.key</code> +
 ===== Utilisation d'un certificat SSL par Apache ===== ===== Utilisation d'un certificat SSL par Apache =====
  
Ligne 113: Ligne 110:
 ==== Configuration générale du module SSL d'Apache ==== ==== Configuration générale du module SSL d'Apache ====
  
-Créer le fichier /etc/apache2/conf.d/ssl :+Créer le fichier ///etc/apache2/conf-available/ssl.conf// :
  
 <code apache> <code apache>
-  <IfModule mod_ssl.c> +<IfModule mod_ssl.c> 
-    SSLCertificateFile    /etc/ssl/certs/server.crt +  SSLCertificateFile    /etc/ssl/certs/server.crt 
-    SSLCertificateKeyFile /etc/ssl/private/server.key +  SSLCertificateKeyFile /etc/ssl/private/server.key 
-  </IfModule>+</IfModule>
 </code> </code>
  
-ou :+ou avec un seul fichier contenant la clé et le certificat :
  
 <code apache> <code apache>
-  <IfModule mod_ssl.c> +<IfModule mod_ssl.c> 
-    SSLCertificateKeyFile /etc/apache2/ssl/server.pem +  SSLCertificateKeyFile /etc/ssl/private/server.pem 
-  </IfModule>+</IfModule>
 </code> </code>
  
-**NB :** un fichier .pem est la concaténation de la clef privée et du certificat :+<note tip>Pour créé le fichier //PEM//, concaténez la clef privée et le certificat : 
 +<code bash>cat /etc/ssl/private/server.key /etc/ssl/certs/server.crt > /etc/ssl/private/server.pem 
 +</code></note>
  
-<code bash>cat server.key > apache.pem +Puis activer ce fichier de configuration : <code bash>a2enconf ssl 
-cat server.crt >> apache.pem</code>+service apache2 restart</code>
  
-**NB2 :** dans le cas de l'utilisation d'une clef certifié par une autorité fille d'une Autorité de certification connue des navigateurs, il faut ajouté une directive pour indiqué la **ligné** des certificats : <code bash>SSLCertificateChainFile cachaine.txt</code>+<note tip>Dans le cas de l'utilisation d'une clef certifiée par une autorité fille d'une autorité de certification connue des navigateurs, il faut ajouter une directive pour indiqué la **ligné** des certificats (appelée //chaîne de certification//: <code bash>SSLCertificateChainFile cachaine.txt</code></note>
  
 ==== Activation du module SSL ==== ==== Activation du module SSL ====
  • informatique/securite/manip_certificat_ssl.1571230602.txt.gz
  • Dernière modification : 2019/10/16 12:56
  • de bn8