4 231
modifications
« Installation et configuration de OpenSSL » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenSSL (voir la source)
Version du 22 juillet 2022 à 19:53
, 22 juillet 2022→le fichier /etc/openssl.cnf
Aucun résumé des modifications |
|||
| (2 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 205 : | Ligne 205 : | ||
authorityKeyIdentifier = keyid,issuer:always | authorityKeyIdentifier = keyid,issuer:always | ||
basicConstraints = critical,CA:TRUE,pathlen:1 | basicConstraints = critical,CA:TRUE,pathlen:1 | ||
keyUsage = keyCertSign, cRLSign | keyUsage = critical, keyCertSign, cRLSign | ||
nsCertType = sslCA, emailCA | nsCertType = sslCA, emailCA | ||
subjectAltName = email:copy | subjectAltName = email:copy | ||
| Ligne 216 : | Ligne 216 : | ||
authorityKeyIdentifier = keyid,issuer:always | authorityKeyIdentifier = keyid,issuer:always | ||
issuerAltName = issuer:copy | issuerAltName = issuer:copy | ||
keyUsage = keyCertSign, cRLSign | keyUsage = critical, keyCertSign, cRLSign | ||
nsCertType = sslCA, emailCA | nsCertType = sslCA, emailCA | ||
subjectAltName = email:copy | subjectAltName = email:copy | ||
| Ligne 272 : | Ligne 272 : | ||
</pre> | </pre> | ||
Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la ROOT_CA, et on précise qu'il faut configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration.<br> | Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la ROOT_CA, et on précise qu'il faut configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration.<br> | ||
Notez qu'on génère un serial aléatoire pour le certificat intermédiaire | Notez qu'on génère un serial aléatoire pour le certificat intermédiaire. | ||
<pre> | <pre> | ||
openssl ca -rand_serial -extensions CORE_CA -in core_ca.req -out core_ca.pem | openssl ca -rand_serial -extensions CORE_CA -in core_ca.req -out core_ca.pem | ||
| Ligne 281 : | Ligne 281 : | ||
openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial | openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial | ||
</pre> | </pre> | ||
'''Editez ensuite le fichier serial et incrémentez le''', sinon votre premier certificat aura le même serial que le certificat racine. | |||
Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri : | Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri : | ||
<pre> | <pre> | ||
| Ligne 358 : | Ligne 361 : | ||
=Génération de certificats ECDSA= | =Génération de certificats ECDSA= | ||
<pre>openssl ecparam -list_curves</pre> | |||
Les 2 courbes les plus supportées sont prime256v1 et secp384r1 | Les 2 courbes les plus supportées sont prime256v1 et secp384r1 | ||