« Installation et configuration de OpenSSL » : différence entre les versions

Aller à la navigation Aller à la recherche
Aucun résumé des modifications
 
(2 versions intermédiaires par le même utilisateur non affichées)
Ligne 205 : Ligne 205 :
authorityKeyIdentifier          = keyid,issuer:always
authorityKeyIdentifier          = keyid,issuer:always
basicConstraints                = critical,CA:TRUE,pathlen:1
basicConstraints                = critical,CA:TRUE,pathlen:1
keyUsage                        = keyCertSign, cRLSign
keyUsage                        = critical, keyCertSign, cRLSign
nsCertType                      = sslCA, emailCA
nsCertType                      = sslCA, emailCA
subjectAltName                  = email:copy
subjectAltName                  = email:copy
Ligne 216 : Ligne 216 :
authorityKeyIdentifier          = keyid,issuer:always
authorityKeyIdentifier          = keyid,issuer:always
issuerAltName                  = issuer:copy
issuerAltName                  = issuer:copy
keyUsage                        = keyCertSign, cRLSign
keyUsage                        = critical, keyCertSign, cRLSign
nsCertType                      = sslCA, emailCA
nsCertType                      = sslCA, emailCA
subjectAltName                  = email:copy
subjectAltName                  = email:copy
Ligne 272 : Ligne 272 :
</pre>
</pre>
Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la ROOT_CA, et on précise qu'il faut configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration.<br>
Puis on signe le certificat en utilisant la ca par défaut (défini dans le fichier openssl.cnf), c'est-à-dire, la ROOT_CA, et on précise qu'il faut configurer ce nouveau certificat en utilisant la section CORE_CA du fichier de configuration.<br>
Notez qu'on génère un serial aléatoire pour le certificat intermédiaire,
Notez qu'on génère un serial aléatoire pour le certificat intermédiaire.
<pre>
<pre>
openssl ca -rand_serial -extensions CORE_CA -in core_ca.req -out core_ca.pem
openssl ca -rand_serial -extensions CORE_CA -in core_ca.req -out core_ca.pem
Ligne 281 : Ligne 281 :
openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial
openssl x509 -serial -noout -in core_ca.pem | cut -d= -f2 > serial
</pre>
</pre>
'''Editez ensuite le fichier serial et incrémentez le''', sinon votre premier certificat aura le même serial que le certificat racine.
Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri :
Enfin, on s'assure que la clé privée de cette nouvelle autorité est elle aussi à l'abri :
<pre>
<pre>
Ligne 358 : Ligne 361 :


=Génération de certificats ECDSA=
=Génération de certificats ECDSA=
<pre>openssl ecparam -list_curves</pre>


Les 2 courbes les plus supportées sont prime256v1 et secp384r1
Les 2 courbes les plus supportées sont prime256v1 et secp384r1
4 242

modifications

Menu de navigation