Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tutoriel:comment_creer_un_certificat_ssl [Le 08/01/2016, 12:55] Id2ndR mise en forme |
tutoriel:comment_creer_un_certificat_ssl [Le 01/09/2022, 00:09] (Version actuelle) moths-art Passage de http à https sur les liens externes (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>precise trusty serveur sécurité tutoriel}} | + | {{tag>trusty serveur sécurité tutoriel}} |
---- | ---- | ||
Ligne 12: | Ligne 12: | ||
Il existe beaucoup de sites expliquant comment créer un certificat SSL. Voici une technique qui fonctionne mais dans laquelle je ne donne pas de détails. | Il existe beaucoup de sites expliquant comment créer un certificat SSL. Voici une technique qui fonctionne mais dans laquelle je ne donne pas de détails. | ||
- | |||
===== Pré-requis ===== | ===== Pré-requis ===== | ||
Ligne 44: | Ligne 43: | ||
Vous allez devoir répondre à un certain nombre de questions. Veillez surtout à mettre le nom du serveur tel qu'il est appelé de l'extérieur dans le champ « Common Name » (par exemple : "www.example.com"). | Vous allez devoir répondre à un certain nombre de questions. Veillez surtout à mettre le nom du serveur tel qu'il est appelé de l'extérieur dans le champ « Common Name » (par exemple : "www.example.com"). | ||
+ | Optionnel : pour visualiser le contenu du fichier généré : | ||
+ | <code> | ||
+ | openssl req -text -noout -in server.csr | ||
+ | </code> | ||
==== Signature du certificat ==== | ==== Signature du certificat ==== | ||
Ligne 53: | Ligne 56: | ||
- certificat signé par une autorité tierce, par exemple : | - certificat signé par une autorité tierce, par exemple : | ||
* [[https://www.cacert.org|CACert]] : copier/coller la demande (le fichier server.csr) à l'autorité qui va signer le certificat à utiliser ([[https://www.cacert.org/account.php?id=10|ici pour cacert]]). | * [[https://www.cacert.org|CACert]] : copier/coller la demande (le fichier server.csr) à l'autorité qui va signer le certificat à utiliser ([[https://www.cacert.org/account.php?id=10|ici pour cacert]]). | ||
- | * [[https://letsencrypt.org/|Let's Encrypt]], avec l'option --csr du client letsencrypt | + | * [[https://letsencrypt.org/|Let's Encrypt]], avec l'option --csr du client letsencrypt (CSR au format DER : option // -outform der// pour openssl) |
+ | |||
+ | ===== Usage avancé ===== | ||
+ | |||
+ | ==== Usage non interactif ==== | ||
+ | |||
+ | Pour éviter de répondre aux questions de la localisation jusqu'au domaine, il est possible de passer l'argument subject à la commande openssl. Ajouter le paramètre : //-subj "/OU=Domain Control Validated/CN=exemple.fr"// | ||
+ | |||
+ | <note help>//Domain Control Validated// indique simplement que seule la vérification du domaine est effectuée. Ce paramètre peut être omis. Il existe une vérification DV (celle indiquée) et EV, plus complète. Plus de détails sur [[https://certsimple.com/blog/are-ev-ssl-certificates-worth-it|ce blog]] (en).</note> | ||
+ | |||
+ | ==== Paramétrage fin de la CSR ==== | ||
+ | |||
+ | Les CSR permettent de valider plusieurs domaines avec un même certificat. Pour l'utiliser, créer un fichier //openssl_SAN.cnf// comme-suit : | ||
+ | <file> | ||
+ | [req] | ||
+ | req_extensions = v3_req | ||
+ | distinguished_name = req_distinguished_name | ||
+ | |||
+ | [req_distinguished_name] | ||
+ | |||
+ | [v3_req] | ||
+ | # Extensions to add to a certificate request | ||
+ | basicConstraints = CA:FALSE | ||
+ | keyUsage = digitalSignature, keyEncipherment | ||
+ | |||
+ | [SAN] | ||
+ | subjectAltName=DNS:exemple.fr,DNS:www.exemple.fr | ||
+ | </file> | ||
+ | |||
+ | Et ajouter les paramètres suivants à la commande openssl : //-config openssl_SAN.cnf -reqexts SAN// | ||
===== Voir aussi ===== | ===== Voir aussi ===== | ||
- | **(fr)** [[http://www.magdiblog.fr/divers/creer-une-passerelle-securisee-avec-un-raspberry-pi/|Qu'est ce qu'un certificat, comment créer une CA ainsi qu'un exemple d'authentification par certificat client]] | + | * **(fr)** [[https://www.magdiblog.fr/divers/creer-une-passerelle-securisee-avec-un-raspberry-pi/|Qu'est ce qu'un certificat, comment créer une CA ainsi qu'un exemple d'authentification par certificat client]] |
+ | * **(en)** [[https://www.tty1.net/blog/2015/using-letsencrypt-in-manual-mode_en.html|Utilisation détaillée avec Let's Encrypt]] | ||
---- | ---- |