« LES CERTIFICATS » : différence entre les versions
Nouvelle page : == Comment Créer des certificats avec OpenSSL (Mandriva 2008)== === Pré-requis === Afin de pouvoir générer des certificats sous linux, il faut avoir installé openssl Avant de ... |
Aucun résumé des modifications |
||
| Ligne 61 : | Ligne 61 : | ||
==== Générer une CRL ==== | ==== Générer une CRL ==== | ||
openssl ca -gencrl -out ma_crl.crl -key pass_de_la_cle_prive_de_la_CA | openssl ca -gencrl -out ma_crl.crl -key pass_de_la_cle_prive_de_la_CA | ||
[[category:système]] | |||
[[category:Linux]] | |||
Version du 26 octobre 2010 à 12:29
Comment Créer des certificats avec OpenSSL (Mandriva 2008)
Pré-requis
Afin de pouvoir générer des certificats sous linux, il faut avoir installé openssl
Avant de commencer à générer ses certificats, il peut être utile de modifier le fichier openssl.cnf afin de modifier des paramètres par défaut. ce fichier se trouve ici : /etc/pki/tls/openssl.cnf
default_days = 1095 #correspond à 3 ans countryName_default = FR stateOrProvinceName_default = votre_région localityName_default = votre_ville 0.organizationName_default = votre_organisation ou société organizationalUnitName_default = Autorite de certification nsCaRevocationUrl = http://mon_site/ma_crl.crl
Génération d'une Authorité de certification (CA)
un script tout fait existe dans : /etc/pki/tls/misc ce script s'appele CA ou CA.sh et va générer une CA qui permettra de générer et signer les certificats.
./CA -newca va générer une CA valide 3 ans et les fichiers suivants il est possible en modifiant le script d'augmanter la durée de validité de la CA /etc/pki/tls/cakey.pem /etc/pki/tls/careq.pem /etc/pki/tls/cacert.pem
Génération des certificats
Il existe plusieurs format de certificats en fonction de l'utilisation que nous en faisont.
Format pfx ou p12 utilisé sous windows principalement. Format cert (crt, pem, der,...) utilisé principalement sous linux pour apache par exemple.
Générer un certificat cert
/usr/bin/openssl req -new -nodes -keyout key.pem -out req.pem /usr/bin/openssl ca -policy policy_anything -out cert.pem -infiles req.pem Le fichier key.pem sera la clé privée et cert.pem le certificat (public) Il suffit pour l'utiliser de modifier la configuration d'apache et de le relancer
Générer un certificat pfx
Ici la clé et la demande de certificat sont dans le même fihier (req.pem) /usr/bin/openssl req -new -keyout req.pem -out req.pem $DAYS openssl ca -policy policy_anything -out $cert.pem -infiles req.pem openssl pkcs12 -export -in cert.pem -inkey req.pem -out cert.pfx
Générer un certificat pour le mail (ex : sendmail, pop, webmin, ...)
Pour ce type de certificat on utilise la même ligne de commande que pour un cert mais il faut faire des modification manuelles sur le contenu du fichier cert.pem pour qu'il ressemeble à ceci :
-----BEGIN CERTIFICATE----- DQEBAQUAA0sAMEgCQQC9/Be7ZUIdu/3gPp3pZyX98LQP343ehfdNEDLoXUx -----END CERTIFICATE----- -----BEGIN RSA PRIVATE KEY----- P2N/saoLUEhBAiEAgpKf1jaYPNzBVovQeqgoeWdiFXJnTwLx7ExPMJ0srAECIBc8 -----END RSA PRIVATE KEY-----
Révoquer un certificat
openssl ca -revoke /etc/pki/tls/misc/cert.pem -key openssl ca -revoke /etc/pki/tls/misc/$CERTIFICAT_REVOKE -key $PRIVATE_KEY_PASSWORD
Après une révocation d'un certificat il faut regénérer la crl afin d'interdir l'utilisation du certificat que nous venons de révoquer
Générer une CRL
openssl ca -gencrl -out ma_crl.crl -key pass_de_la_cle_prive_de_la_CA
