4 203
modifications
« Installation et configuration de OpenSSL » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenSSL (voir la source)
Version du 1 février 2011 à 20:51
, 1 février 2011→Mise en place d'une autorité de certification
Aucun résumé des modifications |
|||
| Ligne 191 : | Ligne 191 : | ||
keyUsage = keyCertSign, cRLSign | keyUsage = keyCertSign, cRLSign | ||
nsCertType = sslCA | nsCertType = sslCA | ||
</pre> | |||
Maintenant nous pouvons créer le certificat de l'autorité de certification : | |||
<pre> | |||
cd /etc/ssl/root_ca/ | |||
openssl req -x509 -config /etc/ssl/openssl.cnf -newkey rsa:4096 -extensions ROOT_CA -days 3650 -keyout private/root_ca.key -out root_ca.pem | |||
</pre> | |||
Quelques explications : | |||
* req permet de créer des des demandes de certificats. | |||
* -x509 permet de créer un certificat auto-signé au lieu d'une simple demande de certificat. | |||
* -newkey rsa:4096 permet de créer la clé privée en même temps ; L'algorithme de chiffrement RSA est utilisé avec une clé de 4096 bits. | |||
* -extensions ROOT_CA spécifie qu'il faut utiliser la section [ROOT_CA] du fichier de configuration de openssl pour configurer le certificat. | |||
* -days 3650 permet de définir la durée de validité du certificat. Ici, 3650 jours. | |||
* -keyout défini le chemin où sera stocké la clé privée. | |||
* -out désigne le chemin où sera stocké la clé publique. | |||
Le mot de passe (<code>PEM pass phrase</code>) doit être assez compliqué étant donné que ce couple de clé assure la validité de tous les certificats qui seront signés avec lui. Si la clé privé de l'AC est compromise, c'est tous les certificats signés par l'AC qui sont compromis. | |||
Pour s'assurer de la sécurité de la clé privée : | |||
<pre> | |||
chmod -R 600 /etc/ssl/root_ca/private | |||
</pre> | |||
L'autorité de certification root est maintenant créée. Nous allons créer l'autorité intermédiaire : | |||
<pre> | |||
cd /etc/ssl/core_ca | |||
#On commence par créer une nouvelle clé privé ainsi qu'une demande de certificat | |||
openssl req -newkey rsa:4096 -keyout private/core_ca.key -out core_ca.req | |||
#Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la CA_ROOT. | |||
#Notez qu'on précise qu'il fait configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration. | |||
openssl ca -extensions CORE_CA -in core_ca.req -out core_ca.pem | |||
#enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abris. | |||
$ chmod -R 600 private/ | |||
</pre> | </pre> | ||