LINUX:Certificats
But
Un volet de la sécurité passe par le cryptage des communications. La première étape consiste à créer des certificats SSL. De plus en plus, il est fortement conseillé d'utiliser le cryptage via certificats SSL telles la navigation WEB ou la messagerie. Nous allons passer d'étape en étape en complexifiant l'approche.
Cryptage SSL
Dans cet article, on présente de façon succincte le cryptage SSL.
Fichier de configuration OpenSSL
Sous Linux, nous allons utiliser OpenSSL. Ceci passe par le paramétrer.
Certificat auto signé
Dans cet article, nous abordons la création de clé privée et de certificat auto signé.
Création d'une CA privée (V1)
Dans cet article, nous allons créer une CA privée accompagnée du nécessaire pour un serveur WEB ou Mail en ce qui concerne les clés. Le certificat publique de serveur est de version 1.
Extension de la CA privée (V3)
Dans cet article, nous allons étendre les fonctionnalités des certificats publiques de serveur en passant à la version 3. On ajoute la fonctionnalité SAN (Server Alternative Name ou nom alternatif du serveur). Cette fonctionnalité est nécessaire pour utiliser MS Edge et Google Chrome. Nous passerons aussi à un certificat Wildcard.
Problèmes suite au cryptage
Le fait d'utiliser le cryptage en privé pose de plus en plus de problèmes dans les applications courantes. (Avast, Firefox, Thunderbird, MS Internet Explorer, MS Edge, Google Chrome). Dans cet article, nous nos concentrerons sur l'anti-virus Avast.
Le fichier HOSTS
En l’absence de serveur DNS, le fichier hosts peut remplir ce rôle.
Certificats sous les applicatifs clients de Mozilla
Nous allons aborder l'utilisation du cryptage en privé dans les applications clients de Mozilla: Firefox et Thunderbird.
Certificats sous Internet Explorer, Edge, Chrome
Nous allons aborder l'utilisation du cryptage en privé dans les applications clients MS Internet Explorer, MS Edge, Google Chrome.
Certificats sous Linux
Nous allons aborder l'utilisation du cryptage en privé sous Linux.
Let's Encrypt: certificats gratuits SSL/TLS
Si votre serveur est accessible depuis Internet et que vous proposez un service WEB par exemple, il vous faut acquérir un certificat publique auprès d'une Autorité de Certification (CA) officielle. Let's Encrypt en propose des gratuits.
Remarque
Faisons remarquer que toutes clés privées et les certificats publiques générées dans ces différents articles peuvent être copiées sur un autre serveur Linux ou Windows pour être utilisées pour un serveur WEB, Tomcat ou de messagerie par exemple. Dans le cas de Windows, il faudra un fichier PFX comprenant la clé privée de serveur, le certificat publique CA et le certificat publique de serveur. La seule contrainte consiste à recopier les clés et certificats renouvelés dès que la date de validité est dépassée; c'est surtout le cas pour les certificats Let's Encrypt qui sont renouvelés tous les deux mois. Une procédure automatique peut être mise en place facilement.