Ce howto a été écrit au départ pour debian etch puis a été adapté pour debian lenny. Il reste cependant valable la plupart du temps pour ces deux versions de debian.

Protéger les données qui transitent au travers des différents protocoles peut parfois être primordial. Le chiffrement le plus utilisé actuellement est SSL. Le principe de SSL est basé sur l'utilisation de deux clés : une clé publique qui sert à déchiffrer et une clé privée qui sert à chiffrer (on parle de chiffrement asymétrique). La clé privée doit rester confidentielle alors que la clé publique peut-être transmise sans problème à tous le monde. La validité des clés publiques est assurée par une autorité de certification.

OpenSSL est une implémentation libre du protocole ssl et permet de créer facilement des couples de clés publique / privée.

Nous allons voir comment créer un autorité de certification racine (root), une autorité intermédiaire, et enfin, un couple de clé pouvant être utilisé par exemple pour apache.

Les changements de permissions effectués dans ce howto supposent que vous êtes en umask 0027

Installation et généralités

Pour installer openssl utilisez aptitude :

aptitude install openssl

Attention : certains paquets peuvent avoir besoin d'accéder au fichier /etc/ssl/openssl.cnf (c'est par exemple le cas de bind9 depuis une mise à jour de sécurité). Veillez donc à ce que ce fichier reste accessible en lecture pour other.

Le programme openssl fonctionne de la manière suivante :

openssl <comande> [options]

Par exemple, la commande ca gère les autorités de certification, la commande req gère les requêtes de certificat, ...