« Installation et configuration de OpenSSL » : différence entre les versions

Installation et configuration de OpenSSL (voir la source)

Version du 3 octobre 2020 à 22:37

1 290 octets ajoutés , 3 octobre 2020

→‎le fichier /etc/openssl.cnf

Pfoo

Bureaucrates, Administrateurs

4 203

modifications

@@ Ligne 87 : / Ligne 87 : @@
 <pre>
+openssl_conf = default_conf
 [ ca ]
 #Cette section nous permet de définir l'autorité de certification par défaut.
@@ Ligne 104 : / Ligne 105 : @@
 preserve        = no
 policy          = policy_match
+#unique_subject = no # Set to 'no' to allow creation of several certs with same subject.
 #l'autorité de certification intermédiaire valable 10 ans
@@ Ligne 118 : / Ligne 120 : @@
 preserve        = no
 policy          = policy_match
+#unique_subject = no # Set to 'no' to allow creation of several certs with same subject.
 </pre>
@@ Ligne 146 : / Ligne 149 : @@
 default_bits            = 4096
 distinguished_name      = req_distinguished_name
+string_mask = utf8only
 [ req_distinguished_name ]
@@ Ligne 173 : / Ligne 177 : @@
 challengePassword_max           = 20
 unstructuredName                = An optional company name
+</pre>
+<pre>
+[default_conf]
+ssl_conf = ssl_sect
+[ssl_sect]
+system_default = system_default_sect
+[system_default_sect]
+MinProtocol = TLSv1.2
+CipherString = DEFAULT@SECLEVEL=2
 </pre>
@@ Ligne 197 : / Ligne 213 : @@
 ==Création de l'autorité root==
+===V1===
 Maintenant nous pouvons créer le certificat de l'autorité de certification :
 <pre>
@@ Ligne 221 : / Ligne 239 : @@
 Nous allons ensuite initialiser le serial par un nombre aléatoire
 <pre>openssl x509 -serial -noout -in root_ca.pem | cut -d= -f2 > serial</pre>
+===V2===
+<pre>openssl req -new -newkey rsa:2048 -keyout private/cakey.pem -out careq.pem -config /etc/ssl/openssl.cnf </pre>
+<pre>openssl ca -create_serial -out cacert.pem -days 365 -keyfile private/cakey.pem -selfsign -config /etc/ssl/openssl.cnf -infiles careq.pem </pre>
+-create_serial est important et permet d'initialiser un sérial aléatoire de 128 bits.
+Passer par ces deux commandes (plutôt que tout créer directement par <code>req</code>) est nécessaire car <code>req</code> ne supporte pas -create_serial
+see https://www.phildev.net/ssl/creating_ca.html
 ==Création de l'autorité intermédiaire==
@@ Ligne 294 : / Ligne 324 : @@
 subjectAltName                  = critical,email:copy,email:root@server.com,email:admin@server.com
 basicConstraints                = critical,CA:FALSE
-keyUsage                        = digitalSignature, nonRepudiation
+keyUsage                        = critical,digitalSignature, nonRepudiation
 nsCertType                      = client
 extendedKeyUsage                = clientAuth
@@ Ligne 305 : / Ligne 335 : @@
 Identifiez le certificat dans le fichier <code>/etc/ssl/core_ca/index.txt</code>. Par exemple, pour révoquer le certificat qui a l'identifiant 03 :
 <pre>openssl ca -revoke /etc/ssl/core_ca/newcerts/03.pem</pre>
+=Compatibilité avec la bibliothèque de certificats des distributions Linux=
+Placez le certificat de votre CA dans /etc/ssl/certs/myca.pem puis lancez les commandes suivantes :
+<pre>cd /etc/ssl/certs/
+chmod o+r myca.pem
+ln -s myca.pem `openssl x509 -hash -noout -in myca.pem`.0
+cd
+</pre>

« Installation et configuration de OpenSSL » : différence entre les versions

Installation et configuration de OpenSSL (voir la source)

Version du 3 octobre 2020 à 22:37

Menu de navigation

Rechercher

« Installation et configuration de OpenSSL » : différence entre les versions