LINUX:Certificat auto signé
But
Dans cet article, nous abordons la création de clé privée et de certificat auto signé. C'est la première approche abordée dans le chapitre précédent. Ce type est très souvent utilisé pour un usage interne sur des serveurs privés.
Création d'une clé privée
Nous utilisons la commande OpenSSL suivante:
openssl genrsa -out /etc/pki/tls/private/localhost.key
La clé privée est "/etc/pki/tls/private/localhost.key" est est générée par défaut sur 2048 bits.
Pour passer à 4096 bits, il faut ajouter cette option à la fin:
openssl genrsa -out /etc/pki/tls/private/localhost.key 4096
Dans ce second cas, il faut faire attention, car toutes les applications ne l'acceptent pas.
Création de la clé publique ou certificat publique auto signé
La commande suivante crée le certificat auto signé:
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -key /etc/pki/tls/private/localhost.key
La commande demande les informations sur le propriétaire. Si vous avez correctement paramétré le fichier "openssl.cnf" comme décrit dans l'article précédent, il suffit d'accepter les propositions.
Elle se base sur la clé privée générée au point précédent "/etc/pki/tls/private/localhost.key".
Elle génère le certificat auto signé "/etc/pki/tls/certs/localhost.crt".
Il a une durée de validité de 10 ans (-days 3650).
Il n'est pas protégé par un mot de passe (-nodes). Ce qui est préférable pour l'utiliser par un service WEB ou Mail.
Création des deux en une fois
La commande suivante effectue les deux opérations en une fois:
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -keyout /etc/pki/tls/private/localhost.key
Evidemment les noms et répertoires peuvent être adaptés. Par défaut, on les met dans le répertoire "/etc/pki", PKI comme Public Key Infrastructure (Infrastructure à clés publiques).
Chaine
Un fichier chaine est souvent demandé par les logiciels. Le principe est simple. Les clés sont des fichiers texte. Il suffit avec un éditeur de texte ou la commande Unix "cat" de les placer l'un en dessous de l'autre dans un même fichier. Attention, l'ordre peut avoir une importance. C'est le cas de Postfix qui demande que la clé soit en première position.
Exemple de commande:
cat /etc/pki/tls/private/localhost.key /etc/pki/tls/certs/localhost.crt > /etc/pki/tls/private/localhost.pem
Visualisation du contenu d'un certificat
Pour visualiser le contenu d'un certificat, lancez la commande suivante:
openssl x509 -in /etc/pki/tls/certs/localhost.crt -text -noout localhost.log
Ceci concerne le certificat "/etc/pki/tls/certs/localhost.crt".
Le résultat est stocké dans le fichier "localhost.log".