« LINUX:Création d'une CA privée (V1) » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 40 : | Ligne 40 : | ||
On remarque aussi qu'au lieu de répondre aux questions d'identification du propriétaire, ils se trouvent en paramètres; mais on aurait pu répondre aux questions. Seul le "Common Name" change. Il est important que ce nom soit différent de celui du serveur ou du site virtuel. | On remarque aussi qu'au lieu de répondre aux questions d'identification du propriétaire, ils se trouvent en paramètres; mais on aurait pu répondre aux questions. Seul le "Common Name" change. Il est important que ce nom soit différent de celui du serveur ou du site virtuel. | ||
Ce certificat est valable 10 ans (3650 jours). Il n'est à faire qu'une fois pour autant de certificats publique de serveur ou site présentés ci-dessous. | |||
=Création d'une requête de certificat publique pour le serveur= | =Création d'une requête de certificat publique pour le serveur= | ||
Maintenant vient la phase de création du certificat publique pour le serveur ou du site. | Maintenant vient la phase de création du certificat publique pour le serveur ou du site. | ||
Elle comporte deux étapes: la requête et la création du certificat publique. | |||
On commence par faire une requête pour obtenir le certificat ("'''/etc/pki/home/req/localhost.csr'''"). | On commence par faire une requête pour obtenir le certificat ("'''/etc/pki/home/req/localhost.csr'''"). | ||
openssl req -new -key /etc/pki/home/private/localhost.key -out /etc/pki/home/req/localhost.csr -subj '/CN=serverdb.home.dom/emailAddress=pdupont@gmail.com/OU=Dupont/O=Home/L=Namur/ST=Belgique/C=BE' | openssl req -new -key /etc/pki/home/private/localhost.key -out /etc/pki/home/req/localhost.csr -subj '/CN=serverdb.home.dom/emailAddress=pdupont@gmail.com/OU=Dupont/O=Home/L=Namur/ST=Belgique/C=BE' | ||
Comme ci-dessus, les informations de propriété sont ajoutées en option. Ici le "Common Name" est celui du serveur (ou du site si c'était par exemple, "www.home.dom") | Comme ci-dessus, les informations de propriété sont ajoutées en option. Ici le "Common Name" est celui du serveur (ou du site si c'était par exemple, "www.home.dom"). | ||
| Ligne 57 : | Ligne 61 : | ||
Cette opération se fait sur base des informations contenues dans la requête ("'''/etc/pki/home/req/localhost.csr'''"). | Cette opération se fait sur base des informations contenues dans la requête ("'''/etc/pki/home/req/localhost.csr'''"). | ||
Nous avons choisit 10 ans de validité ("-days 3650") mais vous pouvez définir un autre delais, 1 an par exemple. | |||
Pour la première utilisation, il y a initialisation du n° de série. Par la suite, lors du renouvellement ou de la création d'un certificat pour le même domaine, ce fichier sera incrémenté. Chaque certificat publique aura un n° de série différent, ce qui peut être utile lors de la révocation d'un certificat qui n'a plus de raison d'être ou piraté ("'''/etc/pki/home/misc/ca.srl'''"). | Pour la première utilisation, il y a initialisation du n° de série. Par la suite, lors du renouvellement ou de la création d'un certificat pour le même domaine, ce fichier sera incrémenté. Chaque certificat publique aura un n° de série différent, ce qui peut être utile lors de la révocation d'un certificat qui n'a plus de raison d'être ou piraté ("'''/etc/pki/home/misc/ca.srl'''"). | ||
Si on crée un certificat publique pour un autre site, la commande est analogue mais il ne faut pas réinitialiser le n° de série; l'option "'''-CAcreateserial'''" est à éliminer. | |||
=Création de chaînes= | |||
Nombre de logiciels demandent des fichiers contenant plusieurs clés. | |||
Nous utilisons la commande "'''cat'''" d'Unix. | |||
Voici deux exemples: | |||
cat /etc/pki/home/certs/localhost.crt /etc/pki/home/certs/ca.crt > /etc/pki/home/certs/localhost.pem | |||
cat /etc/pki/home/private/localhost.key /etc/pki/home/certs/localhost.crt /etc/pki/home/certs/ca.crt > /etc/pki/home/certs/localhost.chaine.pem | |||
=Renouvellement de certificats= | |||
Normalement, le renouvellement du certificat publique CA ne devrait pas se passer avant 10 ans (3560 jours). La commande est identique que ci-dessus. | |||
Notons que les clés privées sont créés une fois pour toutes. | |||
Par contre, il se peut qu'il faille renouveler ou recréer le certificat publique du serveur ou site. | |||
La requête présentée ci-dessus est identique mais la création du certificat publique ne présente pas l'initialisation du n° de série!!! L'option "'''-CAcreateserial'''" est à éliminer. | |||
openssl x509 -req -days 3650 -in /etc/pki/home/req/localhost.csr -out /etc/pki/home/certs/localhost.crt -passinpass:MOTDEPASSESECRET -CA /etc/pki/home/certs/ca.crt -CAkey /etc/pki/CA/private/ca.key -CAserial /etc/pki/home/misc/ca.srl | |||
Les chaînes sont bien sûr à refaire en fonction des changements. | |||