LINUX:Création d'une CA privée (V1)

De WIKI sur Linux (ADB)
Aller à la navigation Aller à la recherche

But

Dans cet article, nous allons créer une CA privée accompagnée du nécessaire pour un serveur WEB ou Mail en ce qui concerne les clés. Cette approche nous sera utile pour résoudre des problèmes liés à l'utilisation de ressources interne WEB et Mail. Reportez-vous à l'article Problèmes suite au cryptage.


Description de la procédure

Nous allons mettre en place une CA comme décrit dans l'article Cryptage SSL, à part que tout restera sur le même serveur. Notons que par serveur (ex: serverdb.home.dom), on entend la machine mais également les noms DNS (virtuels) (ex: www.home.dom, mail.home.dom). Dans notre exemple, le nom de machine est serverdb et son domaine est home.dom. Faisons également remarquer qu'une machine peut héberger des services d'autres domaines (ex: www.interne.dom, mail.interne.dom). On se restreint ici à un usage interne.

Voici les principales étapes:

  • Création d'un clé privée CA
  • Création d'un clé privée pour le serveur
  • Création d'un certificat publique CA pour un domaine (home.dom)
  • Création d'une requête de certificat publique pour le serveur
  • Création sur ces bases de ce certificat publique pour le serveur
  • Création de chaînes diverses pour le serveur

Nous aborderons enfin le problème de renouvellement des certificats lorsque leur période de validité est passée.

La clé privée CA sera mise dans le répertoire "/etc/pki/CA/private/". Nous allons stocker toutes ces clés dans la structure PKI dans le nouveau répertoire "/etc/pki/home/", avec les sous-répertoires "private" pour la clé privée de domaine, "certs" pour les certificats publiques, les requ^tes dans "req" et le n° de série dans "misc".


Création d'un clé privée CA

La première opération est la création d'une clé privée pour la CA.

openssl genrsa -out /etc/pki/CA/private/ca.key -passout pass:MOTDEPASSESECRET  2048

On remarque que la clé est protégée par un mot de passe. Ce mot de passe est à adapter.


Création d'un clé privée pour le serveur


->retour aux certificats