4 231
modifications
« Installation et configuration de OpenSSL » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenSSL (voir la source)
Version du 22 juillet 2022 à 19:53
, 22 juillet 2022→le fichier /etc/openssl.cnf
| (16 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[[Category:serveur]] | [[Category:serveur]] | ||
[[Category:debian]] | [[Category:debian]] | ||
[[Category:security]] | |||
Protéger les données qui transitent au travers des différents protocoles peut parfois être primordial. Le chiffrement le plus utilisé actuellement est SSL. Le principe de SSL est basé sur l'utilisation de deux clés : une clé publique qui sert à déchiffrer et une clé privée qui sert à chiffrer (on parle de chiffrement asymétrique). La clé privée doit rester confidentielle alors que la clé publique peut-être transmise sans problème à tous le monde. | Protéger les données qui transitent au travers des différents protocoles peut parfois être primordial. Le chiffrement le plus utilisé actuellement est SSL. Le principe de SSL est basé sur l'utilisation de deux clés : une clé publique qui sert à déchiffrer et une clé privée qui sert à chiffrer (on parle de chiffrement asymétrique). La clé privée doit rester confidentielle alors que la clé publique peut-être transmise sans problème à tous le monde. | ||
La validité des clés publiques est assurée par une autorité de certification. | La validité des clés publiques est assurée par une autorité de certification. | ||
| Ligne 25 : | Ligne 26 : | ||
* basicConstraints | * basicConstraints | ||
** <div id="pathlen"></div>pathlen : profondeur de la clé, c | ** <div id="pathlen"></div>pathlen : profondeur de la clé, c'est-à-dire, le nombre d'autorité de certficiation (AC) pouvant apparaître sous le certificat en question (on parle de chaîne de certification). Cette directive est importante si vous souhaitez mettre en place une chaîne de certification avec plusieurs autorités de certification. Une AC avec une pathlen de 0 ne peut qu'être utilisée pour signer des certificats utilisateurs/serveurs et pas une autre AC. | ||
** CA : TRUE pour une autorité, FALSE pour un certificat serveur ou client. | ** CA : TRUE pour une autorité, FALSE pour un certificat serveur ou client. | ||
* keyUsage | * keyUsage | ||
| Ligne 87 : | Ligne 88 : | ||
<pre> | <pre> | ||
openssl_conf = default_conf | HOME = . | ||
openssl_conf = default_conf | |||
[ ca ] | [ ca ] | ||
#Cette section nous permet de définir l'autorité de certification par défaut. | #Cette section nous permet de définir l'autorité de certification par défaut. | ||
| Ligne 102 : | Ligne 105 : | ||
private_key = $dir/private/root_ca.key | private_key = $dir/private/root_ca.key | ||
default_days = 3650 | default_days = 3650 | ||
default_md = | default_md = default | ||
preserve = no | preserve = no | ||
policy = policy_match | policy = policy_match | ||
#unique_subject = no # Set to 'no' to allow creation of several certs with same subject. | #unique_subject = no # Set to 'no' to allow creation of several certs with same subject. | ||
name_opt = ca_default | |||
cert_opt = ca_default | |||
#l'autorité de certification intermédiaire valable 10 ans | #l'autorité de certification intermédiaire valable 10 ans | ||
| Ligne 117 : | Ligne 122 : | ||
private_key = $dir/private/core_ca.key | private_key = $dir/private/core_ca.key | ||
default_days = 3650 | default_days = 3650 | ||
default_md = | default_md = default | ||
preserve = no | preserve = no | ||
policy = policy_match | policy = policy_match | ||
#unique_subject = no # Set to 'no' to allow creation of several certs with same subject. | #unique_subject = no # Set to 'no' to allow creation of several certs with same subject. | ||
name_opt = ca_default | |||
cert_opt = ca_default | |||
</pre> | </pre> | ||
| Ligne 149 : | Ligne 156 : | ||
default_bits = 4096 | default_bits = 4096 | ||
distinguished_name = req_distinguished_name | distinguished_name = req_distinguished_name | ||
string_mask = utf8only | string_mask = utf8only | ||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
| Ligne 198 : | Ligne 205 : | ||
authorityKeyIdentifier = keyid,issuer:always | authorityKeyIdentifier = keyid,issuer:always | ||
basicConstraints = critical,CA:TRUE,pathlen:1 | basicConstraints = critical,CA:TRUE,pathlen:1 | ||
keyUsage = keyCertSign, cRLSign | keyUsage = critical, keyCertSign, cRLSign | ||
nsCertType = sslCA, emailCA | nsCertType = sslCA, emailCA | ||
subjectAltName = email:copy | |||
issuerAltName = issuer:copy | |||
[CORE_CA] | [CORE_CA] | ||
| Ligne 207 : | Ligne 216 : | ||
authorityKeyIdentifier = keyid,issuer:always | authorityKeyIdentifier = keyid,issuer:always | ||
issuerAltName = issuer:copy | issuerAltName = issuer:copy | ||
keyUsage = keyCertSign, cRLSign | keyUsage = critical, keyCertSign, cRLSign | ||
nsCertType = sslCA, emailCA | nsCertType = sslCA, emailCA | ||
subjectAltName = email:copy | |||
issuerAltName = issuer:copy | |||
</pre> | </pre> | ||
| Ligne 225 : | Ligne 236 : | ||
* -x509 permet de créer un certificat auto-signé au lieu d'une simple demande de certificat. | * -x509 permet de créer un certificat auto-signé au lieu d'une simple demande de certificat. | ||
* -newkey rsa:8192 permet de créer la clé privée en même temps ; L'algorithme de chiffrement RSA est utilisé avec une clé de 8192 bits. | * -newkey rsa:8192 permet de créer la clé privée en même temps ; L'algorithme de chiffrement RSA est utilisé avec une clé de 8192 bits. | ||
* -extensions ROOT_CA spécifie qu'il faut utiliser la section [ROOT_CA] du fichier de configuration de openssl pour configurer le certificat. | * -sha256 : utilisé sha256 pour la signature (c'est le défaut, sha1 étant déprécié) | ||
* -extensions ROOT_CA spécifie qu'il faut utiliser la section [ROOT_CA] (en majuscule !) du fichier de configuration de openssl pour configurer le certificat. | |||
* -days 3650 permet de définir la durée de validité du certificat. Ici, 3650 jours. | * -days 3650 permet de définir la durée de validité du certificat. Ici, 3650 jours. | ||
* -keyout défini le chemin où sera stocké la clé privée. | * -keyout défini le chemin où sera stocké la clé privée. | ||
| Ligne 239 : | Ligne 251 : | ||
Nous allons ensuite initialiser le serial par un nombre aléatoire | Nous allons ensuite initialiser le serial par un nombre aléatoire | ||
<pre>openssl x509 -serial -noout -in root_ca.pem | cut -d= -f2 > serial</pre> | <pre>openssl x509 -serial -noout -in root_ca.pem | cut -d= -f2 > serial</pre> | ||
'''Editez ensuite le fichier <code>serial</code> et incrémentez le.''', sinon votre premier certificat aura le même serial que le certificat racine. | |||
===Méthode alternative=== | ===Méthode alternative=== | ||
| Ligne 257 : | Ligne 271 : | ||
openssl req -newkey rsa:8192 -sha256 -keyout private/core_ca.key -out core_ca.req | openssl req -newkey rsa:8192 -sha256 -keyout private/core_ca.key -out core_ca.req | ||
</pre> | </pre> | ||
Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la | Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la ROOT_CA, et on précise qu'il faut configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration.<br> | ||
Notez qu'on génère un serial aléatoire pour le certificat intermédiaire. | |||
<pre> | <pre> | ||
openssl ca -extensions CORE_CA -in core_ca.req -out core_ca.pem</pre> | openssl ca -rand_serial -extensions CORE_CA -in core_ca.req -out core_ca.pem | ||
</pre> | |||
On génère le serial de core_ca | On génère le serial de core_ca dans /etc/ssl/core_ca/serial | ||
<pre> | <pre> | ||
openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial | openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial | ||
</pre> | </pre> | ||
'''Editez ensuite le fichier serial et incrémentez le''', sinon votre premier certificat aura le même serial que le certificat racine. | |||
Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri : | Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri : | ||
<pre> | <pre> | ||
| Ligne 282 : | Ligne 300 : | ||
Pour que les clients (http, mail, ftp, ...) reconnaissent comme valide les certificats que vous signez avec votre AC il faut ajouter le fichier <code>/etc/ssl/root_ca/root_ca.pem</code> (et <code>/etc/ssl/core_ca/core_ca.pem</code> si votre serveur est mal configuré) à leur liste d'autorité de certification valide. | Pour que les clients (http, mail, ftp, ...) reconnaissent comme valide les certificats que vous signez avec votre AC il faut ajouter le fichier <code>/etc/ssl/root_ca/root_ca.pem</code> (et <code>/etc/ssl/core_ca/core_ca.pem</code> si votre serveur est mal configuré) à leur liste d'autorité de certification valide. | ||
=Générer des certificats serveurs= | =Générer des certificats serveurs= | ||
| Ligne 342 : | Ligne 359 : | ||
cd | cd | ||
</pre> | </pre> | ||
=Génération de certificats ECDSA= | |||
<pre>openssl ecparam -list_curves</pre> | |||
Les 2 courbes les plus supportées sont prime256v1 et secp384r1 | |||
<pre>openssl ecparam -name prime256v1 -out prime256v1.pem</pre> | |||
Puis à la génération de la clé, il faudra préciser : | |||
<pre>-newkey ec:prime256v1.pem</pre> | |||