Pourquoi installer un certificat d’autorité ?
Si vous avez un serveur dédié comme moi et vous auto hébergé votre site Internet, cela vous permettra de sécuriser.
Pré-requis :
- Installer openssl
- Création de répertoire
- Configuration openssl
Installer OpenSsl
root@osn:/# apt-get install openssl
Une fois installé vous pourrez utiliser openssl vace la commande suivante :
root@osn:/#openssl
Création du répertoire où ce trouveras les certificats
Moi j’ai créé un dossier dans /home/acu/pour mettre le dossier certificate_authority qui aura des sous-dossiers :
- private
- certs
- newcerts
- crl
Pour créer le dossier :
root@osn:/#mkdir /home/acu/
Voici la deuxième commande qui créer en même temps les sous dossiers.
root@osn:/#mkdir -p certificate-authority/{private,certs,newcerts,crl}
Une fois que les dossiers sont créés, nous dans le dossier certificate_authority.
root@osn:/#cd /home/acu/certificate-authority
Nous allons créer deux fichiers dans ce dossier.
- index.txt : un fichier utilisé par OpenSSL pour stocker les informations des certificats signés
- serial : chaque certificat possède un serial. Ce fichier contient le serial du prochain certificat. La valeur est incrémentée automatiquement.
root@osn:/#touch index.txt
Nous commençons le serial par 01 pour que s’incrémente
root@osn:/#
echo "01" > serial
Copier le fichier de configuration openssl.cnf vers un nouveau fichier que nous appelons ca_config.cnf
root@osn:/#cp /etc/ssl/openssl.cnf /home/certificate_authority/ca-config.cnf
Une fois que c’est fait ajuster le fichier de configuration ca-config.cnf dans le dossier /etc/ssl/
Changer le chemin du répertoire : dir = ./demoCA
dir = /home/acu/certificate_authority/ # Where everything is kept
Je vous conseille de changer :
certificate = $dir/cacert.pem # The CA certificate
en
certificate = $dir/certs/ca_mondomaine.crt # The CA certificate
et
private_key _ $dir/private/ca_mondomaine.key # The private key
Voir ci-dessous :
[ CA_default ]
dir = /home/acu/certificate_authority # Where everything is kept
certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to 'no' to allow creation of # several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs.
certificate = $dir/ca_mondomaine.crt # The CA certificate
serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/ca_mondomaine.key # The private key RANDFILE = $dir/private/.rand # private random number file
x509_extensions = usr_cert # The extentions to add to the cert
# Comment out the following two lines for the "traditional"
# (and highly broken) format. name_opt = ca_default # Subject Name options cert_opt = ca_default # Certificate field options
Passons à la configuration ca-config.cnf
Configuration du fichier /etc/ssl/ca-config.cnf
Dans ce fichier, nous allons modifier quelques paramètres qui nous aiderons pour la suite.
default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = default # use public key default MD
preserve = no # keep passed DN ordering [ req ] default_bits = 2048 (vous pouvez mettre 4096) default_keyfile = privkey.pem distinguished_name = req_distinguished_name attributes = req_attributes x509_extensions = v3_ca # The extentions to add to the self signed cert [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = FR countryName_min = 2 countryName_max = 2 stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Franche Comte localityName = Locality Name (eg, city) localityName_default = Les Fins 0.organizationName = Organization Name (eg, company) 0.organizationName_default = mondomaine.com organizationalUnitName = Organizational Unit Name (eg, section) #organizationalUnitName_default = commonName = Common Name (e.g. server FQDN or YOUR name) commonName_max = 64 emailAddress = Email Address emailAddress_max = 64 # SET-ex3 = SET extension number 3 [ req_attributes ] challengePassword = A challenge password challengePassword_min = 4 challengePassword_max = 20
Nous rallongeons le nombre d’année, ici c’est 10 ans. Nous cryptons en 2048 voir 4096 comme vous voulez. Nous indiquons aussi le pays FR, la région d’où nous sommes Franche-Comté, la ville pour moi Les Fins, et aussi le nom du domaine mondomaine.com.
Création du certificat d’autorité
Nous devons utiliser la commande openssl qui nous permettra de signer les demandes de certificats.
root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
- req : traite des demandes de certificats PKCS#10
- -new : génère une nouvelle demande de certificat
- -x509 : génère un certificat auto-signé à la place d’une demande de certificat. Elle est utilisée typiquement pour générer des certificats de test ou le certificat auto-signé racine d’une CA.
- -extensions v3_ca : génère un certificat SSL v3, en se référant à la section v3_ca du fichier de configuration d’OpenSSL
- -days 3650 : durée de validité du certificat.
- -newkey rsa:4096 : génération d’une clé privée RSA de 4096 bits.
- -nodes : désactive le mot de passe phrase de la clé pour que Apache ne demande pas à chaque fois
- -subj : permet de nommer notre requête
- -keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
- -out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .
- -config ca-config : permet d’utiliser un fichier de configuration alternatif, à la place d’openssl.cnf.
- CN : le nom de votre domaine
- O : le titre de votre domaine
- ST : Votre région
- L : Votre ville
Vous pouvez donner un nom que vous désirer. Moi j’ai mis le domaine et si c’est privé ou public.
-keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
-out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .
Si vous mettez CN, O C et L il faut ajouter -subj
root@osn:/#openssl req -new -nodes -subj '/CN=www.mondomaine.com/O=mon nouveau domaine/C=FR/ST=Franche Comte/L=Les Fins'-x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
Si vous ne voulez pas chiffrer la clé privée, ajoutez l’option -nodes.
Voici comment faire :
root@osn:/#openssl req -new -nodes -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
Revenons à nos mouton, faire la commande suivante si vous ne changez rien
root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
Il va vous demander un mot de passe pour la phrase.
Noté bien le mot de passe de la phrase
Generating a 4096 bit RSA private key
......................................++
.....................................................................++
writing new private key to 'private/ca_mondomaine_private.key'
Enter PEM pass phrase:lepetitdomaine Verifying - Enter PEM pass phrase:lepetitdomaine
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]: Country Name (2 letter code) [FR]: State or Province Name (full name) [Franche Comte]: Locality Name (eg, city) [Les Fins]: Organization Name (eg, company) [mondomaine.com]: Organizational Unit Name (eg, section) []:
Comme c’est indiqué par défaut vous taper enter
Common Name (e.g. server FQDN or YOUR name) []:ca.mondomaine.com
Email Address []:admin@mondomaine.com
Normalement vous avez créée deux fichiers ca_mondomaine_private.key et ca_mondomaine.cert qui se trouve dans /home/acu/certificate_authority.
Voici les deux photos
ca_mondomaine_private.key c’est la clé privée
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
ca_mondomaine.cert c’est la clé public
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Création d’une demande certificat signé (CSR)
Un CSR est un message qui, une fois soumis au CA, permet de générer un certificat. Nous allons aborder la génération du CSR à travers deux exemples : l’un destiné à un certificat pour serveur, l’autre pour un utilisateur.
Ici le certificat sera utilisé par un service comme Apache ou autres, il ne doit pas être protégé par unmot de passe “pass phrase“.
root@osn:/#openssl req -new -nodes -newkey rsa:2048 -keyout private/secuserver.key -out secuserver.csr -config ca-config.cnf
- -nodes : pas de mot de passe pass phrase
Generating a 2048 bit RSA private key
........+++
..+++
writing new private key to 'private/secuserver.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf
State or Province Name (full name) [Franche Comte]:
Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf
Locality Name (eg, city) [Les Fins]:
Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf
Organization Name (eg, company) [mondomaine.com]:
Ne rien mettre
Organizational Unit Name (eg, section) []:
Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf
Common Name (e.g. server FQDN or YOUR name) []:mondomaine.com
Ajouter votre adresse mail
Email Address []:admin@mondomaine.com
Cette partie est une option qui n’est pas obligatoire.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
Maintenant nous allons faire la même chose mais nous allons protéger par un mot de passe pass phrase car ça va être utiliser par des personnes et non par des robots.
root@osn:/#openssl req -new -newkey rsa:2048 -keyout private/secu_mondomaine.key -out secu_mondomaine.csr -config ca-config.cnf
Mettez un mot de passe pass phrase
Generating a 2048 bit RSA private key
.............................................................................................+++
........+++
writing new private key to 'private/secu_mondomaine.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
Répondez aux questions demandées, c’est la même chose que plus haut.
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Franche Comte]:
Locality Name (eg, city) [Les Fins]:
Organization Name (eg, company) [mondomaine.com]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:secu-mondomaine
Email Address []:admin@mondomaine.com
Cette partie est une option qui n’est pas obligatoire.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Création d’un certificat signé
Utilisons nos CSR pour générer nos certificats.
root@osn:/#openssl ca -config ca-config.cnf -policy policy_anything -out certs/webserver.crt -infiles webserver.csr
- ca : application CA minimale qui peut être utilisée pour signer des demandes de certificats.
- -config ca-config : possibilité d’utilisé dans un autre fichier de celui d’origine d’openssl.cnf
- -policy policy_anything : cette option définit la « politique » de la CA à utiliser. Il s’agit d’une section du fichier de configuration spécifiant les champs qui sont obligatoires ou qui doivent correspondre au certificat de la CA.
- -out certs/webserver.crt : spécifie le nom du fichier (le certificat) de sortie.
- -infiles webserver.csr : le ou les fichiers CSR à utiliser.
Bonjour,
La page fonctionne bien : http://www.osnetworking.com/debian-installer-certificat-autorite-facilement/
Merci