skip to Main Content

Certificat autorité : installer facilement sur Debian

Certificat d’autorite Private Key 

Pourquoi installer un certificat d’autorité ?

Si vous avez un serveur dédié comme moi et vous auto hébergé votre site Internet, cela vous permettra de sécuriser.

Pré-requis :

  • Installer openssl
  • Création de répertoire
  •  Configuration openssl

Installer OpenSsl

root@osn:/# apt-get install openssl

Une fois installé vous pourrez utiliser openssl vace la commande suivante :

root@osn:/#openssl 

Création du répertoire où ce trouveras les certificats

Moi j’ai créé un dossier dans /home/acu/pour mettre le dossier certificate_authority qui aura des sous-dossiers :

  • private
  • certs
  • newcerts
  • crl

Pour créer le dossier :

root@osn:/#mkdir /home/acu/

Voici la deuxième commande qui créer en même temps les sous dossiers.

root@osn:/#mkdir -p certificate-authority/{private,certs,newcerts,crl}

Une fois que les dossiers sont créés, nous dans le dossier certificate_authority.

root@osn:/#cd /home/acu/certificate-authority

Nous allons créer deux fichiers dans ce dossier.

  • index.txt : un fichier utilisé par OpenSSL pour stocker les informations des certificats signés
  • serial : chaque certificat possède un serial. Ce fichier contient le serial du prochain certificat. La valeur est incrémentée automatiquement.

 

root@osn:/#touch index.txt

 

Nous commençons le serial par 01 pour que s’incrémente

root@osn:/#echo "01" > serial

Copier le fichier de configuration openssl.cnf vers un nouveau fichier que nous appelons ca_config.cnf

root@osn:/#cp /etc/ssl/openssl.cnf /home/certificate_authority/ca-config.cnf

Une fois que c’est fait ajuster le fichier de configuration ca-config.cnf dans le dossier /etc/ssl/

Changer le chemin du répertoire : dir  = ./demoCA

dir = /home/acu/certificate_authority/ # Where everything is kept

Je vous conseille de changer :

certificate   = $dir/cacert.pem       # The CA certificate

en

certificate    = $dir/certs/ca_mondomaine.crt       # The CA certificate

et

private_key      _ $dir/private/ca_mondomaine.key   # The private key

 

Voir ci-dessous :

[ CA_default ]
dir = /home/acu/certificate_authority # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
#unique_subject = no # Set to 'no' to allow creation of
 # several ctificates with same subject.
new_certs_dir = $dir/newcerts # default place for new certs.
certificate = $dir/ca_mondomaine.crt # The CA certificate
serial = $dir/serial # The current serial number
crlnumber = $dir/crlnumber # the current crl number
 # must be commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/ca_mondomaine.key # The private key
RANDFILE = $dir/private/.rand # private random number file
x509_extensions = usr_cert # The extentions to add to the cert
# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options

Passons à la configuration ca-config.cnf

Configuration du fichier /etc/ssl/ca-config.cnf

Dans ce fichier, nous allons modifier quelques paramètres qui nous aiderons pour la suite.

default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = default # use public key default MD
preserve = no # keep passed DN ordering

[ req ]
default_bits = 2048 (vous pouvez mettre 4096)
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = FR
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Franche Comte

localityName = Locality Name (eg, city)
localityName_default = Les Fins

0.organizationName = Organization Name (eg, company)
0.organizationName_default = mondomaine.com

organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64

emailAddress = Email Address
emailAddress_max = 64

# SET-ex3 = SET extension number 3

[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20


Nous rallongeons le nombre d’année, ici c’est 10 ans. Nous cryptons en 2048 voir 4096 comme vous voulez. Nous indiquons aussi le pays FR, la région d’où nous sommes Franche-Comté, la ville pour moi Les Fins, et aussi le nom du domaine mondomaine.com.

 

Création du certificat d’autorité

Nous devons utiliser la commande openssl qui nous permettra de signer les demandes de certificats.

root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
  • req : traite des demandes de certificats PKCS#10
  • -new : génère une nouvelle demande de certificat
  • -x509 : génère un certificat auto-signé à la place d’une demande de certificat. Elle est utilisée typiquement pour générer des certificats de test ou le certificat auto-signé racine d’une CA.
  • -extensions v3_ca : génère un certificat SSL v3, en se référant à la section v3_ca du fichier de configuration d’OpenSSL
  • -days 3650 : durée de validité du certificat.
  • -newkey rsa:4096 : génération d’une clé privée RSA de 4096 bits.
  • -nodes : désactive le mot de passe phrase  de la clé pour que Apache ne demande pas à chaque fois
  • -subj : permet de nommer notre requête
  • -keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
  • -out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .
  • -config ca-config : permet d’utiliser un fichier de configuration alternatif, à la place d’openssl.cnf.
  • CN : le nom de votre domaine
  • O : le titre de votre domaine
  • ST : Votre région
  • L : Votre ville

Vous pouvez donner un nom que vous désirer. Moi j’ai mis le domaine et si c’est privé ou public.

-keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
-out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .

Si vous mettez CN, O C et L il faut ajouter -subj

root@osn:/#openssl req -new -nodes -subj '/CN=www.mondomaine.com/O=mon nouveau domaine/C=FR/ST=Franche Comte/L=Les Fins'-x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

 

Si vous ne voulez pas chiffrer la clé privée, ajoutez l’option -nodes.

Voici comment faire  :

root@osn:/#openssl req -new -nodes -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

Revenons à nos mouton, faire la commande suivante si vous ne changez rien

root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

Il va vous demander un mot de passe pour la phrase.

Noté bien le mot de passe de la phrase

Generating a 4096 bit RSA private key
......................................++
.....................................................................++
writing new private key to 'private/ca_mondomaine_private.key'
Enter PEM pass phrase:lepetitdomaine
Verifying - Enter PEM pass phrase:lepetitdomaine

-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Franche Comte]:
Locality Name (eg, city) [Les Fins]:
Organization Name (eg, company) [mondomaine.com]:
Organizational Unit Name (eg, section) []:

Comme c’est indiqué par défaut vous taper enter

Common Name (e.g. server FQDN or YOUR name) []:ca.mondomaine.com
Email Address []:admin@mondomaine.com

 

Normalement vous avez créée deux fichiers ca_mondomaine_private.key et ca_mondomaine.cert qui se trouve dans /home/acu/certificate_authority.

Voici les deux photos

ca_mondomaine_private.key c’est la clé privée

-----BEGIN ENCRYPTED PRIVATE KEY-----
 MIIJljBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIArdECLAsb5kCAggA
 MBQGCCqGSIb3DQMHBAjXyyVb37aApQSCCVBZyKgLGkPN7w8eBwl8NceR+PNha0Hr
 Osa0ScZRM5G9/+2ImpUI/fgk6Pm8SSzqw4pSaBl5F1rEt78MW+4ZF8APpJAYhRcw
 FjCqVfaRklYyZ9rGZtZL7/aYFL5ci+qTs1l3VxTh5+M42X+ARXM1eZkPwK6c4f8P
 yC8zI9f73/kuSuJ7L3i9qXOHjswcdZ5A/90Fjp2tewNacV56JtxLp+bzRd34u/Oh
 ssQnw4hc37X0pi/dlt8SazFUGXYh+ZF+B+qrFt6c0cQqaCQKBSgQijIR2NnYGKvI
 6HJW7ohy6cCKzhBKPwCcioasaTgrIGvHOqqWI4Na6idI6QUZJk4U2ufBHLfHqOa+
 NNfstwBafnRorNf7dBZ0L0Yq+M7r2Sx8b6L/h0SznIchQ1KpgCsfMt06Zf2IYIvB
 WcwdRAGrgNzMyzJwIDAHeKcHrOnA3P+eIC7NRfSgsg6Sr/gaib3XhST0hBpSew7Z
 D3dSEOolWWHYNqcaSoQMzPFLjCc0l9voVhXnTNVoEWa32LFpGfBf1O93AjmfgpS8
 KZQ7fV5P0BTf7PgunCpo92P7+zxrv0TOGFBlepHvWVvQsz05yogbAebF/2gOpX0I
 umy+Or+LxiMmuOgj5TDlEzVWBP9SV2z4pl/ayZXnozGIwSK4jAAEE19Ln6Q5KpX1
 tIr3C2TCNzISjlc1IT5sB3ymXnMHvKgF46TM+UOkF7XyxvDmIj889ne7VKuK7uXK
 Aqpg+O9CXYdz2NJUc2iCZzNm41pkU7tOcZskfLZ1+tV4qDRdPu+jBlayK6ngeOIf
 Sxp/uybmBD3us2epAU/hqrbFq5XaVibePQl4/ahFej7ANYGKB7Yseys2XQhKMT7j
 4d2Mb+7RoBuKHJ0T/hIwM075hDKedpNiDjGCO++TLv9UY4yu6+oErP5sJqHDNCkN
 fuf7zc9QsxSYy+ZOOG1zk3b35jHnm4hDqkHE2BmGKdYyZKx2xUVZr+wUVLWctwsr
 bJQrX6fuHz7BZ+EIIJs+LImapNjIuK42HaOVj2gJvnRfHm7etfZl7G6XzqyQs9qr
 W7wP5wBeiMeQT9aOtijECUQR5GOMXTO0M/LAnz518jhh/RZv3XKlXfJ4o9DH68o0
 QkXP2pPxBQSiRASpimCNvLIuVs6jLEQHNeCFqht0jvuP7+w6AMMKtMahFaxUqROH
 Iav0J9kVIHbyEs57JRI7ybHqqUJ9yxOAqynKRiXieZflDV3veHQAGAIFKDoORg50
 ewzoDj13JKgB5+HCr+P4If3Pye7DgnWYoKOUXkkPI7+YZO3qbcOrefPYD5kYdn6q
 i4qyeUMa3Ee1M4SLCj8UcToZFo+VuRWeHe+c9pVFtfRF75O0/6vzy7R794EMwq97
 1XAsvHzg+Wdxb7Fnfj9SnhyX1V6KdUjRJCznUMG9l9+270+atNBx4cNxUquAZkEu
 Bvxtjh7SqR2+oYEZJrWat3qewD4zw6bHrj8zOohAk0nmtPOlCF3S8a5TAnKKfgzk
 HE7Oo1LAHth8Osn0rqlGIygyQBjb+h1cff2YNJLRrpDbxrZUCmogcOZ1yyD1h3Fd
 S4vkWf5hGjVoetBkMQalj2PJvweLg7BULn9ufmTeyjSCQLhSLTEAUGKOLB8b+7i3
 ib6ysNSPN0d3QjQNPidmCzqs+0hNOUrNp0oZdtHwsPjGQVlRntA2PqoxCvztFRi+
 ZB29uV3pVBeI05kd0ZkGqedTQXKTu71bqQSx9a/9Wu8H+EnsM59c/OULON4UyoqJ
 OOdvmmSYlIXkac9TnV0NZuPvAzpGGoEHJdlECvOR8WCegWejYWxQ/r8626D7M9t0
 SG+bjVma/1+WhdD8yofOq9fpyo8OpEDEgbV5Y67dd03iMU+7kRMkqE9aptiZHi+g
 E4MuaDZ6JSp6IACpC1LUMUQa3niLfGHi3rr+ortYS3I3XqKulQOWWohH6GoQuJOa
 +5AcnbFQ8BdDHISBLsxJglGxQVwXuCe/GbCiGznNUAI/DPCyeWy9SZ9XbyaLiBQx
 /kWe91+vbigThySGHukL98RnVqNtiRCLHIorCE1SA28doBoHG0zDJ2I9l3NOyPEq
 S5ZM0mptIgS3QU4nr7q4k9/1kf1YqwYEBJMjv5YR5TO7pVp88IXDCI5zcuDAJyL/
 gaF0jUEP4LO5bvJkm5ZfmTTIft8ve4YsqOMeNTSEy10E1cfV2EcFkZgqezSNZlc4
 VS4d1fuHW3co97nAeFOqlKDgLmjte5BXnwUznSdApqtZ45nRoPArNF2zvLAxQnsu
 ZMnZuLEqNP0lo8a/yPjmQLFDpQnAPNbvGut+iUky1lyA+VFPmUF2IWUhxZCZ/2YC
 SUl+KoI/oUFcq4oVcQLTt3WXgM4sK9s6/sFY3uTV0b0VkM3pwV/0aJZzabaUAZTM
 0MUS73n34/2N8qNn/7gar1RxpkNxaiY/RDNQcFTR6iwq2AdpjlV8WVE2WRVxW9ia
 krPcT6mKHQQ/MIAopwPgBZgxBERjDRJYGhNa2rvLEogtE+6vYR7zhuurVoNAp73R
 vgyWY6gXR5e72O2vX22Ve9Y2D7jcUY75q5iWhQiZO0xlnrRSMmaCrN/OgzdSeBJY
 rGqhYm1wY65wIy5+xBmS6D5HIA+ZkKNDufs5mToIqDzdFK7jzoKDwJ/efZuKc2eC
 cCpx+wqjBRImVTIRSH1kip6HT7afUD0KGmebUbjSEC4SVTawuq7s6yYvdPo9CpuE
 BC8hgCKAGByR7PJjzUlKdJ5pOGZF9hVbXMPvT8PGvUVO/yAIu/rybIAH7JAPs5Fs
 ZYj/k02aA8cqap8GPUc4lqXX2lIYHIVL5IHlGK6UQ+M5XhsgLQtFL47s+j5Ps+Sj
 bv5ELZ94Ahom65MS2RAWxpf6o+vb6zEd4vXs2xEe1oxeSJOEB6WH8hm7NiofR47p
 gP03to4Xd7S8nxBsYtMR30JodG9q3HtrfZ4TirRmgN1KuTAv3xEwE9pQw8tWbsC+
 PeRW2WgfWmneoA9dLQ3m+E1o13ZOBGkGmA1ZEc5V7SAo8nK0FaYnSwHpNQz/9ruh
 JvtnHbM05WBuKIoaOxU8ghr4NfTBNC3k+Q0iT5Av5uu9PXqjw44UsNbgc18T/h3v
 4Y3+WgjkfDJSoIlUhXZlkosEzqOmzAL1N/JMYgYL+vQRdgVUhmOqdynV42atF89r
 jx1h35+oB/MXeQ==
 -----END ENCRYPTED PRIVATE KEY-----

ca_mondomaine.cert c’est la clé public

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Création d’une demande certificat signé (CSR)

Un CSR est un message qui, une fois soumis au CA, permet de générer un certificat. Nous allons aborder la génération du CSR à travers deux exemples : l’un destiné à un certificat pour serveur, l’autre pour un utilisateur.

Ici le certificat sera utilisé par un service comme Apache ou autres,  il ne doit pas être protégé par unmot de passe « pass phrase« .

root@osn:/#openssl req -new -nodes -newkey rsa:2048 -keyout private/secuserver.key -out secuserver.csr -config ca-config.cnf
  • -nodes : pas de mot de passe pass phrase
Generating a 2048 bit RSA private key
........+++
..+++
writing new private key to 'private/secuserver.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

State or Province Name (full name) [Franche Comte]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Locality Name (eg, city) [Les Fins]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Organization Name (eg, company) [mondomaine.com]:

Ne rien mettre

Organizational Unit Name (eg, section) []:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Common Name (e.g. server FQDN or YOUR name) []:mondomaine.com

Ajouter votre adresse mail

Email Address []:admin@mondomaine.com

Cette partie est une option qui n’est pas obligatoire.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:

Maintenant nous allons faire la même chose mais nous allons protéger par un mot de passe pass phrase car ça va être utiliser par des personnes et non par des robots.

root@osn:/#openssl req -new -newkey rsa:2048 -keyout private/secu_mondomaine.key -out secu_mondomaine.csr -config ca-config.cnf

Mettez un mot de passe pass phrase

Generating a 2048 bit RSA private key
.............................................................................................+++
........+++
writing new private key to 'private/secu_mondomaine.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

Répondez aux questions demandées, c’est la même chose que plus haut.

-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Franche Comte]:
Locality Name (eg, city) [Les Fins]:
Organization Name (eg, company) [mondomaine.com]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:secu-mondomaine
Email Address []:admin@mondomaine.com

Cette partie est une option qui n’est pas obligatoire.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Création d’un certificat signé

Utilisons nos CSR pour générer nos certificats.

root@osn:/#openssl ca -config ca-config.cnf -policy policy_anything -out certs/webserver.crt -infiles webserver.csr
  • ca : application CA minimale qui peut être utilisée pour signer des demandes de certificats.
  • -config ca-config : possibilité d’utilisé dans un autre fichier de celui d’origine d’openssl.cnf
  • -policy policy_anything : cette option définit la « politique » de la CA à utiliser. Il s’agit d’une section du fichier de configuration spécifiant les champs qui sont obligatoires ou qui doivent correspondre au certificat de la CA.
  • -out certs/webserver.crt : spécifie le nom du fichier (le certificat) de sortie.
  • -infiles webserver.csr : le ou les fichiers CSR à utiliser.

 

 

Cet article comporte 1 commentaire

Les commentaires sont clos.