« LINUX:Certificat auto signé » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 8 : | Ligne 8 : | ||
Nous utilisons la commande OpenSSL suivante: | Nous utilisons la commande OpenSSL suivante: | ||
openssl genrsa -out /etc/pki/tls/private/localhost.key | openssl genrsa -out /etc/pki/tls/private/localhost.key | ||
La clé privée est /etc/pki/tls/private/localhost.key est est générée par défaut sur 2048 bits. | La clé privée est "/etc/pki/tls/private/localhost.key" est est générée par défaut sur 2048 bits. | ||
Pour passer à 4096 bits, il faut ajouter cette option à la fin: | Pour passer à 4096 bits, il faut ajouter cette option à la fin: | ||
| Ligne 17 : | Ligne 17 : | ||
=Création de la clé publique ou certificat publique auto signé= | =Création de la clé publique ou certificat publique auto signé= | ||
La commande suivante | La commande suivante crée le certificat auto signé: | ||
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -key /etc/pki/tls/private/localhost.key | openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -key /etc/pki/tls/private/localhost.key | ||
La commande demande les informations sur le propriétaire. Si vous avez correctement paramétré le fichier "openssl.cnf" comme décrit dans l'article précédent, il suffit d'accepter les propositions. | La commande demande les informations sur le propriétaire. Si vous avez correctement paramétré le fichier "openssl.cnf" comme décrit dans l'article précédent, il suffit d'accepter les propositions. | ||
| Ligne 27 : | Ligne 27 : | ||
Il a une durée de validité de 10 ans (-days 3650). | Il a une durée de validité de 10 ans (-days 3650). | ||
Il n'est pas protégé par un mot de passe (-nodes). Ce qui est préférable pour l'utiliser | Il n'est pas protégé par un mot de passe (-nodes). Ce qui est préférable pour l'utiliser par un service WEB ou Mail. | ||
| Ligne 33 : | Ligne 33 : | ||
La commande suivante effectue les deux opérations en une fois: | La commande suivante effectue les deux opérations en une fois: | ||
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -keyout /etc/pki/tls/private/localhost.key | openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -keyout /etc/pki/tls/private/localhost.key | ||
Evidemment les noms et répertoires peuvent être | Evidemment les noms et répertoires peuvent être adaptés. Par défaut, on les met dans le répertoire "/etc/pki", PKI comme Public Key Infrastructure (Infrastructure à clés publiques). | ||
| Ligne 40 : | Ligne 40 : | ||
Exemple de commande: | Exemple de commande: | ||
cat /etc/pki/tls/ | cat /etc/pki/tls/private/localhost.key /etc/pki/tls/certs/localhost.crt > /etc/pki/tls/private/localhost.pem | ||
Version du 8 octobre 2020 à 20:15
But
Dans cet article, nous abordons la création de clé privée et de certificat auto signé. C'est la première approche abordée dans le chapitre précédent. Ce type est très souvent utilisé pour un usage interne sur des serveurs privés.
Création d'une clé privée
Nous utilisons la commande OpenSSL suivante:
openssl genrsa -out /etc/pki/tls/private/localhost.key
La clé privée est "/etc/pki/tls/private/localhost.key" est est générée par défaut sur 2048 bits.
Pour passer à 4096 bits, il faut ajouter cette option à la fin:
openssl genrsa -out /etc/pki/tls/private/localhost.key 4096
Dans ce second cas, il faut faire attention, car toutes les applications ne l'acceptent pas.
Création de la clé publique ou certificat publique auto signé
La commande suivante crée le certificat auto signé:
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -key /etc/pki/tls/private/localhost.key
La commande demande les informations sur le propriétaire. Si vous avez correctement paramétré le fichier "openssl.cnf" comme décrit dans l'article précédent, il suffit d'accepter les propositions.
Elle se base sur la clé privée générée au point précédent "/etc/pki/tls/private/localhost.key".
Elle génère le certificat auto signé "/etc/pki/tls/certs/localhost.crt".
Il a une durée de validité de 10 ans (-days 3650).
Il n'est pas protégé par un mot de passe (-nodes). Ce qui est préférable pour l'utiliser par un service WEB ou Mail.
Création des deux en une fois
La commande suivante effectue les deux opérations en une fois:
openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -keyout /etc/pki/tls/private/localhost.key
Evidemment les noms et répertoires peuvent être adaptés. Par défaut, on les met dans le répertoire "/etc/pki", PKI comme Public Key Infrastructure (Infrastructure à clés publiques).
Chaine
Un fichier chaine est souvent demandé par les logiciels. Le principe est simple. Les clés sont des fichiers texte. Il suffit avec un éditeur de texte ou la commande Unix "cat" de les placer l'un en dessous de l'autre dans un même fichier. Attention, l'ordre peut avoir une importance. C'est le cas de Postfix qui demande que la clé soit en première position.
Exemple de commande:
cat /etc/pki/tls/private/localhost.key /etc/pki/tls/certs/localhost.crt > /etc/pki/tls/private/localhost.pem
Visualisation du contenu d'un certificat
Pour visualiser le contenu d'un certificat, lancez la commande suivante:
openssl x509 -in /etc/pki/tls/certs/localhost.crt -text -noout localhost.log
Ceci concerne le certificat "/etc/pki/tls/certs/localhost.crt".
Le résultat est stocké dans le fichier "localhost.log".