LINUX:Certificat auto signé

De WIKI sur Linux (ADB)
Révision datée du 13 février 2022 à 18:18 par Adebast (discussion | contributions)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

retour aux certificats


But

Dans cet article, nous abordons la création de clé privée et de certificat auto signé. C'est la première approche abordée dans le chapitre précédent. Ce type est très souvent utilisé pour un usage interne sur des serveurs privés.


Création d'une clé privée

Nous utilisons la commande OpenSSL suivante:

openssl genrsa -out /etc/pki/tls/private/localhost.key

La clé privée est "/etc/pki/tls/private/localhost.key" est est générée par défaut sur 2048 bits.

Pour passer à 4096 bits, il faut ajouter cette option à la fin:

openssl genrsa -out /etc/pki/tls/private/localhost.key 4096

Dans ce second cas, il faut faire attention, car toutes les applications ne l'acceptent pas.


Création de la clé publique ou certificat publique auto signé

La commande suivante crée le certificat auto signé:

openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -key /etc/pki/tls/private/localhost.key

La commande demande les informations sur le propriétaire. Si vous avez correctement paramétré le fichier "openssl.cnf" comme décrit dans l'article précédent, il suffit d'accepter les propositions.

Elle se base sur la clé privée générée au point précédent "/etc/pki/tls/private/localhost.key".

Elle génère le certificat auto signé "/etc/pki/tls/certs/localhost.crt".

Il a une durée de validité de 10 ans (-days 3650).

Il n'est pas protégé par un mot de passe (-nodes). Ce qui est préférable pour l'utiliser par un service WEB ou Mail.


Création des deux en une fois

La commande suivante effectue les deux opérations en une fois:

openssl req -new -days 3650 -x509 -nodes -out /etc/pki/tls/certs/localhost.crt -keyout /etc/pki/tls/private/localhost.key

Evidemment les noms et répertoires peuvent être adaptés. Par défaut, on les met dans le répertoire "/etc/pki", PKI comme Public Key Infrastructure (Infrastructure à clés publiques).


Chaine

Un fichier chaine est souvent demandé par les logiciels. Le principe est simple. Les clés sont des fichiers texte. Il suffit avec un éditeur de texte ou la commande Unix "cat" de les placer l'un en dessous de l'autre dans un même fichier. Attention, l'ordre peut avoir une importance. C'est le cas de Postfix qui demande que la clé soit en première position.

Exemple de commande:

cat /etc/pki/tls/private/localhost.key /etc/pki/tls/certs/localhost.crt > /etc/pki/tls/private/localhost.pem


Visualisation du contenu d'un certificat

Pour visualiser le contenu d'un certificat, lancez la commande suivante:

openssl x509 -in /etc/pki/tls/certs/localhost.crt -text -noout localhost.log

Ceci concerne le certificat "/etc/pki/tls/certs/localhost.crt".

Le résultat est stocké dans le fichier "localhost.log".




retour aux certificats