LES CERTIFICATS

De TwisterWiki
Version datée du 30 janvier 2009 à 12:12 par Martin (discussion | contributions) (Nouvelle page : == Comment Créer des certificats avec OpenSSL (Mandriva 2008)== === Pré-requis === Afin de pouvoir générer des certificats sous linux, il faut avoir installé openssl Avant de ...)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Comment Créer des certificats avec OpenSSL (Mandriva 2008)

Pré-requis

Afin de pouvoir générer des certificats sous linux, il faut avoir installé openssl

Avant de commencer à générer ses certificats, il peut être utile de modifier le fichier openssl.cnf afin de modifier des paramètres par défaut. ce fichier se trouve ici : /etc/pki/tls/openssl.cnf

default_days = 1095 #correspond à 3 ans
countryName_default = FR
stateOrProvinceName_default = votre_région
localityName_default = votre_ville
0.organizationName_default = votre_organisation ou société
organizationalUnitName_default = Autorite de certification
nsCaRevocationUrl = http://mon_site/ma_crl.crl

Génération d'une Authorité de certification (CA)

un script tout fait existe dans : /etc/pki/tls/misc ce script s'appele CA ou CA.sh et va générer une CA qui permettra de générer et signer les certificats.

./CA -newca
va générer une CA valide 3 ans et les fichiers suivants
il est possible en modifiant le script d'augmanter la durée de validité de la CA
/etc/pki/tls/cakey.pem
/etc/pki/tls/careq.pem
/etc/pki/tls/cacert.pem

Génération des certificats

Il existe plusieurs format de certificats en fonction de l'utilisation que nous en faisont.

Format pfx ou p12 utilisé sous windows principalement. Format cert (crt, pem, der,...) utilisé principalement sous linux pour apache par exemple.

Générer un certificat cert

/usr/bin/openssl req -new -nodes -keyout key.pem -out req.pem
/usr/bin/openssl ca -policy policy_anything -out cert.pem -infiles req.pem
Le fichier key.pem sera la clé privée et cert.pem le certificat (public)
Il suffit pour l'utiliser de modifier la configuration d'apache et de le relancer

Générer un certificat pfx

Ici la clé et la demande de certificat sont dans le même fihier (req.pem)
/usr/bin/openssl req -new -keyout req.pem -out req.pem $DAYS
openssl ca -policy policy_anything -out $cert.pem -infiles req.pem
openssl pkcs12 -export -in cert.pem -inkey req.pem -out cert.pfx

Générer un certificat pour le mail (ex : sendmail, pop, webmin, ...)

Pour ce type de certificat on utilise la même ligne de commande que pour un cert mais il faut faire des modification manuelles sur le contenu du fichier cert.pem pour qu'il ressemeble à ceci :

-----BEGIN CERTIFICATE-----
DQEBAQUAA0sAMEgCQQC9/Be7ZUIdu/3gPp3pZyX98LQP343ehfdNEDLoXUx
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
P2N/saoLUEhBAiEAgpKf1jaYPNzBVovQeqgoeWdiFXJnTwLx7ExPMJ0srAECIBc8
-----END RSA PRIVATE KEY-----

Révoquer un certificat

openssl ca -revoke /etc/pki/tls/misc/cert.pem -key openssl ca -revoke /etc/pki/tls/misc/$CERTIFICAT_REVOKE -key $PRIVATE_KEY_PASSWORD

Après une révocation d'un certificat il faut regénérer la crl afin d'interdir l'utilisation du certificat que nous venons de révoquer

Générer une CRL

openssl ca -gencrl -out ma_crl.crl -key pass_de_la_cle_prive_de_la_CA