fbpx

Certificat autorité : installer facilement sur Debian

Pourquoi installer un certificat d’autorité ?

Si vous avez un serveur dédié comme moi et vous auto hébergé votre site Internet, cela vous permettra de sécuriser.

Pré-requis :

  • Installer openssl
  • Création de répertoire
  •  Configuration openssl
  •  

Installer OpenSsl

root@osn:/# apt-get install openssl

Une fois installé vous pourrez utiliser openssl vace la commande suivante :

root@osn:/#openssl

Création du répertoire où ce trouveras les certificats

Moi j’ai créé un dossier dans /home/acu/pour mettre le dossier certificate_authority qui aura des sous-dossiers :

  • private
  • certs
  • newcerts
  • crl

Pour créer le dossier :

root@osn:/#mkdir /home/acu/

Voici la deuxième commande qui créer en même temps les sous dossiers.

root@osn:/#mkdir -p certificate-authority/{private,certs,newcerts,crl}

Une fois que les dossiers sont créés, nous dans le dossier certificate_authority.

root@osn:/#cd /home/acu/certificate-authority

Nous allons créer deux fichiers dans ce dossier.

  • index.txt : un fichier utilisé par OpenSSL pour stocker les informations des certificats signés
  • serial : chaque certificat possède un serial. Ce fichier contient le serial du prochain certificat. La valeur est incrémentée automatiquement.

 

root@osn:/#touch index.txt

 

Nous commençons le serial par 01 pour que s’incrémente

root@osn:/#echo "01" > serial

Copier le fichier de configuration openssl.cnf vers un nouveau fichier que nous appelons ca_config.cnf

root@osn:/#cp /etc/ssl/openssl.cnf /home/certificate_authority/ca-config.cnf

Une fois que c’est fait ajuster le fichier de configuration ca-config.cnf dans le dossier /etc/ssl/

Changer le chemin du répertoire : dir  = ./demoCA

dir = /home/acu/certificate_authority/ # Where everything is kept

Je vous conseille de changer :

certificate   = $dir/cacert.pem       # The CA certificate

en

certificate    = $dir/certs/ca_mondomaine.crt       # The CA certificate

et

private_key      _ $dir/private/ca_mondomaine.key   # The private key

 

Voir ci-dessous :

[ CA_default ]
dir = /home/acu/certificate_authority # Where everything is kept
certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to 'no' to allow creation of  # several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs.
certificate = $dir/ca_mondomaine.crt # The CA certificate
serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number  # must be commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/ca_mondomaine.key # The private key RANDFILE = $dir/private/.rand # private random number file
x509_extensions = usr_cert # The extentions to add to the cert
# Comment out the following two lines for the "traditional"
# (and highly broken) format. name_opt = ca_default # Subject Name options cert_opt = ca_default # Certificate field options

Passons à la configuration ca-config.cnf

Configuration du fichier /etc/ssl/ca-config.cnf

Dans ce fichier, nous allons modifier quelques paramètres qui nous aiderons pour la suite.

default_days = 3650 # how long to certify for default_crl_days= 30 # how long before next CRL default_md = default # use public key default MD preserve = no # keep passed DN ordering

[ req ]
default_bits = 2048 (vous pouvez mettre 4096)
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = FR
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Franche Comte

localityName = Locality Name (eg, city)
localityName_default = Les Fins

0.organizationName = Organization Name (eg, company)
0.organizationName_default = mondomaine.com

organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =

commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64

emailAddress = Email Address
emailAddress_max = 64

# SET-ex3 = SET extension number 3

[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20

Nous rallongeons le nombre d’année, ici c’est 10 ans. Nous cryptons en 2048 voir 4096 comme vous voulez. Nous indiquons aussi le pays FR, la région d’où nous sommes Franche-Comté, la ville pour moi Les Fins, et aussi le nom du domaine mondomaine.com.

 

Création du certificat d’autorité

Nous devons utiliser la commande openssl qui nous permettra de signer les demandes de certificats.

root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config
  • req : traite des demandes de certificats PKCS#10
  • -new : génère une nouvelle demande de certificat
  • -x509 : génère un certificat auto-signé à la place d’une demande de certificat. Elle est utilisée typiquement pour générer des certificats de test ou le certificat auto-signé racine d’une CA.
  • -extensions v3_ca : génère un certificat SSL v3, en se référant à la section v3_ca du fichier de configuration d’OpenSSL
  • -days 3650 : durée de validité du certificat.
  • -newkey rsa:4096 : génération d’une clé privée RSA de 4096 bits.
  • -nodes : désactive le mot de passe phrase  de la clé pour que Apache ne demande pas à chaque fois
  • -subj : permet de nommer notre requête
  • -keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
  • -out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .
  • -config ca-config : permet d’utiliser un fichier de configuration alternatif, à la place d’openssl.cnf.
  • CN : le nom de votre domaine
  • O : le titre de votre domaine
  • ST : Votre région
  • L : Votre ville

Vous pouvez donner un nom que vous désirer. Moi j’ai mis le domaine et si c’est privé ou public.

-keyout private/ca_mondomaine_private.key: le nom du fichier que vous lui donnez où la clé privée créée sera écrite.
-out cert/ca_mondomaine_public.crt: spécifie le nom du fichier (le certificat) de sortie que vous lui donnez où la clé publique créée sera écrite. .

Si vous mettez CN, O C et L il faut ajouter -subj

root@osn:/#openssl req -new -nodes -subj '/CN=www.mondomaine.com/O=mon nouveau domaine/C=FR/ST=Franche Comte/L=Les Fins'-x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

 

Si vous ne voulez pas chiffrer la clé privée, ajoutez l’option -nodes.

Voici comment faire  :

root@osn:/#openssl req -new -nodes -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

Revenons à nos mouton, faire la commande suivante si vous ne changez rien

root@osn:/#openssl req -new -x509 -extensions v3_ca -days 3650 -newkey rsa:4096 -keyout private/ca_mondomaine_private.key -out certs/ca_mondomaine_public.crt -config ca-config

Il va vous demander un mot de passe pour la phrase.

Noté bien le mot de passe de la phrase

Generating a 4096 bit RSA private key ......................................++ .....................................................................++ writing new private key to 'private/ca_mondomaine_private.key' Enter PEM pass phrase:lepetitdomaine
Verifying - Enter PEM pass phrase:lepetitdomaine
----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]:
Country Name (2 letter code) [FR]:
State or Province Name (full name) [Franche Comte]:
Locality Name (eg, city) [Les Fins]:
Organization Name (eg, company) [mondomaine.com]:
Organizational Unit Name (eg, section) []:

Comme c’est indiqué par défaut vous taper enter

Common Name (e.g. server FQDN or YOUR name) []:ca.mondomaine.com Email Address []:admin@mondomaine.com

 

Normalement vous avez créée deux fichiers ca_mondomaine_private.key et ca_mondomaine.cert qui se trouve dans /home/acu/certificate_authority.

Voici les deux photos

ca_mondomaine_private.key c’est la clé privée

-----BEGIN ENCRYPTED PRIVATE KEY-----  MIIJljBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQIArdECLAsb5kCAggA  MBQGCCqGSIb3DQMHBAjXyyVb37aApQSCCVBZyKgLGkPN7w8eBwl8NceR+PNha0Hr  Osa0ScZRM5G9/+2ImpUI/fgk6Pm8SSzqw4pSaBl5F1rEt78MW+4ZF8APpJAYhRcw  FjCqVfaRklYyZ9rGZtZL7/aYFL5ci+qTs1l3VxTh5+M42X+ARXM1eZkPwK6c4f8P  yC8zI9f73/kuSuJ7L3i9qXOHjswcdZ5A/90Fjp2tewNacV56JtxLp+bzRd34u/Oh  ssQnw4hc37X0pi/dlt8SazFUGXYh+ZF+B+qrFt6c0cQqaCQKBSgQijIR2NnYGKvI  6HJW7ohy6cCKzhBKPwCcioasaTgrIGvHOqqWI4Na6idI6QUZJk4U2ufBHLfHqOa+  NNfstwBafnRorNf7dBZ0L0Yq+M7r2Sx8b6L/h0SznIchQ1KpgCsfMt06Zf2IYIvB  WcwdRAGrgNzMyzJwIDAHeKcHrOnA3P+eIC7NRfSgsg6Sr/gaib3XhST0hBpSew7Z  D3dSEOolWWHYNqcaSoQMzPFLjCc0l9voVhXnTNVoEWa32LFpGfBf1O93AjmfgpS8  KZQ7fV5P0BTf7PgunCpo92P7+zxrv0TOGFBlepHvWVvQsz05yogbAebF/2gOpX0I  umy+Or+LxiMmuOgj5TDlEzVWBP9SV2z4pl/ayZXnozGIwSK4jAAEE19Ln6Q5KpX1  tIr3C2TCNzISjlc1IT5sB3ymXnMHvKgF46TM+UOkF7XyxvDmIj889ne7VKuK7uXK  Aqpg+O9CXYdz2NJUc2iCZzNm41pkU7tOcZskfLZ1+tV4qDRdPu+jBlayK6ngeOIf  Sxp/uybmBD3us2epAU/hqrbFq5XaVibePQl4/ahFej7ANYGKB7Yseys2XQhKMT7j  4d2Mb+7RoBuKHJ0T/hIwM075hDKedpNiDjGCO++TLv9UY4yu6+oErP5sJqHDNCkN  fuf7zc9QsxSYy+ZOOG1zk3b35jHnm4hDqkHE2BmGKdYyZKx2xUVZr+wUVLWctwsr  bJQrX6fuHz7BZ+EIIJs+LImapNjIuK42HaOVj2gJvnRfHm7etfZl7G6XzqyQs9qr  W7wP5wBeiMeQT9aOtijECUQR5GOMXTO0M/LAnz518jhh/RZv3XKlXfJ4o9DH68o0  QkXP2pPxBQSiRASpimCNvLIuVs6jLEQHNeCFqht0jvuP7+w6AMMKtMahFaxUqROH  Iav0J9kVIHbyEs57JRI7ybHqqUJ9yxOAqynKRiXieZflDV3veHQAGAIFKDoORg50  ewzoDj13JKgB5+HCr+P4If3Pye7DgnWYoKOUXkkPI7+YZO3qbcOrefPYD5kYdn6q  i4qyeUMa3Ee1M4SLCj8UcToZFo+VuRWeHe+c9pVFtfRF75O0/6vzy7R794EMwq97  1XAsvHzg+Wdxb7Fnfj9SnhyX1V6KdUjRJCznUMG9l9+270+atNBx4cNxUquAZkEu  Bvxtjh7SqR2+oYEZJrWat3qewD4zw6bHrj8zOohAk0nmtPOlCF3S8a5TAnKKfgzk  HE7Oo1LAHth8Osn0rqlGIygyQBjb+h1cff2YNJLRrpDbxrZUCmogcOZ1yyD1h3Fd  S4vkWf5hGjVoetBkMQalj2PJvweLg7BULn9ufmTeyjSCQLhSLTEAUGKOLB8b+7i3  ib6ysNSPN0d3QjQNPidmCzqs+0hNOUrNp0oZdtHwsPjGQVlRntA2PqoxCvztFRi+  ZB29uV3pVBeI05kd0ZkGqedTQXKTu71bqQSx9a/9Wu8H+EnsM59c/OULON4UyoqJ  OOdvmmSYlIXkac9TnV0NZuPvAzpGGoEHJdlECvOR8WCegWejYWxQ/r8626D7M9t0  SG+bjVma/1+WhdD8yofOq9fpyo8OpEDEgbV5Y67dd03iMU+7kRMkqE9aptiZHi+g  E4MuaDZ6JSp6IACpC1LUMUQa3niLfGHi3rr+ortYS3I3XqKulQOWWohH6GoQuJOa  +5AcnbFQ8BdDHISBLsxJglGxQVwXuCe/GbCiGznNUAI/DPCyeWy9SZ9XbyaLiBQx  /kWe91+vbigThySGHukL98RnVqNtiRCLHIorCE1SA28doBoHG0zDJ2I9l3NOyPEq  S5ZM0mptIgS3QU4nr7q4k9/1kf1YqwYEBJMjv5YR5TO7pVp88IXDCI5zcuDAJyL/  gaF0jUEP4LO5bvJkm5ZfmTTIft8ve4YsqOMeNTSEy10E1cfV2EcFkZgqezSNZlc4  VS4d1fuHW3co97nAeFOqlKDgLmjte5BXnwUznSdApqtZ45nRoPArNF2zvLAxQnsu  ZMnZuLEqNP0lo8a/yPjmQLFDpQnAPNbvGut+iUky1lyA+VFPmUF2IWUhxZCZ/2YC  SUl+KoI/oUFcq4oVcQLTt3WXgM4sK9s6/sFY3uTV0b0VkM3pwV/0aJZzabaUAZTM  0MUS73n34/2N8qNn/7gar1RxpkNxaiY/RDNQcFTR6iwq2AdpjlV8WVE2WRVxW9ia  krPcT6mKHQQ/MIAopwPgBZgxBERjDRJYGhNa2rvLEogtE+6vYR7zhuurVoNAp73R  vgyWY6gXR5e72O2vX22Ve9Y2D7jcUY75q5iWhQiZO0xlnrRSMmaCrN/OgzdSeBJY  rGqhYm1wY65wIy5+xBmS6D5HIA+ZkKNDufs5mToIqDzdFK7jzoKDwJ/efZuKc2eC  cCpx+wqjBRImVTIRSH1kip6HT7afUD0KGmebUbjSEC4SVTawuq7s6yYvdPo9CpuE  BC8hgCKAGByR7PJjzUlKdJ5pOGZF9hVbXMPvT8PGvUVO/yAIu/rybIAH7JAPs5Fs  ZYj/k02aA8cqap8GPUc4lqXX2lIYHIVL5IHlGK6UQ+M5XhsgLQtFL47s+j5Ps+Sj  bv5ELZ94Ahom65MS2RAWxpf6o+vb6zEd4vXs2xEe1oxeSJOEB6WH8hm7NiofR47p  gP03to4Xd7S8nxBsYtMR30JodG9q3HtrfZ4TirRmgN1KuTAv3xEwE9pQw8tWbsC+  PeRW2WgfWmneoA9dLQ3m+E1o13ZOBGkGmA1ZEc5V7SAo8nK0FaYnSwHpNQz/9ruh  JvtnHbM05WBuKIoaOxU8ghr4NfTBNC3k+Q0iT5Av5uu9PXqjw44UsNbgc18T/h3v  4Y3+WgjkfDJSoIlUhXZlkosEzqOmzAL1N/JMYgYL+vQRdgVUhmOqdynV42atF89r  jx1h35+oB/MXeQ==  -----END ENCRYPTED PRIVATE KEY-----

ca_mondomaine.cert c’est la clé public

-----BEGIN CERTIFICATE----- MIIGBTCCA+2gAwIBAgIJAO4emDHPneqeMA0GCSqGSIb3DQEBCwUAMIGYMQswCQYD VQQGEwJGUjEWMBQGA1UECAwNRnJhbmNoZSBDb210ZTERMA8GA1UEBwwITGVzIEZp bnMxGTAXBgNVBAoMEG9zbmV0d29ya2luZy5jb20xHDAaBgNVBAMME2NhLm9zbmV0 d29ya2luZy5jb20xJTAjBgkqhkiG9w0BCQEWFmFkbWluQG9zbmV0d29ya2luZy5j b20wHhcNMTUxMTE0MTQxNTI2WhcNMjUxMTExMTQxNTI2WjCBmDELMAkGA1UEBhMC RlIxFjAUBgNVBAgMDUZyYW5jaGUgQ29tdGUxETAPBgNVBAcMCExlcyBGaW5zMRkw FwYDVQQKDBBvc25ldHdvcmtpbmcuY29tMRwwGgYDVQQDDBNjYS5vc25ldHdvcmtp bmcuY29tMSUwIwYJKoZIhvcNAQkBFhZhZG1pbkBvc25ldHdvcmtpbmcuY29tMIIC IjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtp32y47eIwFAd2keLzgSArmp dQmQ0Z1rh0/8EG4DQI9An2sRyvsRkU3qy9dymSgzMvyk4ANnXDbtOuXxUfH50vvv XmA9MYsVExHI7IJPUZZCgogdFN7q/E6QLgj2WxM4oD5tk5BuYp7ZPcYjSsze0Edy R35GaMmpuRM1rWx9r7fOM034RWftSasN+oxjMjv9Sh7VoeFih2MiOq2p4NuXKA7V mRzheBJJE2kBCfTtBN2/yKDWz7omSw1KEwizUrp3x8flML3Prc3v6ptIj1eZePhl OI1JBgAfM9cGnByzlZ8bHYbbAmdx9sbWVOtGrA+EO3R70ir3EwWhf8l6IPMvkprg WG4f22DtNqn4+PtmMBJsaMpRdevLznhHZClTrXpdIvKg+QW9Noi+z/m1FJqdy/QU 0niYyH+8dJoYFCoehl37moIKDAn74674OQIx43552y9M5Ed27BAzsJTVJEKasmGY rkk9Cnsh2f9COyhzULwdFgT3CloHNOuxI2ntlJpzyygeByBB01sNJds3dSVtzRHu OMypThnOHL9jUGjKgnRC0aGSlrlbNAfRWLCZd7uOhdf4dsNHBR+o4GKSA0V2UR4o anS0OyoMKg7hDzpBTJk1H7Uq+HbjTGUOQR+1j7/UX9Ae9r1LfMozY1smtimOahsE Snp1fV81r7zPuHLI1FcCAwEAAaNQME4wHQYDVR0OBBYEFA1h4hOdbPHRnb7EKe/U DGzjQ3lZMB8GA1UdIwQYMBaAFA1h4hOdbPHRnb7EKe/UDGzjQ3lZMAwGA1UdEwQF MAMBAf8wDQYJKoZIhvcNAQELBQADggIBAKCjXMwQS4YXFxim1XHBU6Fxv/93eGNh qNrKE1Wm+y+60vaRBDOexHZnzKWvVazRuyRbb50iQLL0hqIfVI4+n/q+GHvGzj6n g5+vfb2fZZ1Y8RLhFLvlcLBkrQrH1ghA6U1YUcaKDeSSJmDFhA/xggwIc4NIo/VH +iFquCTz4eRV9ncY2XEeUXGWsY2R4pRhvubQhBeRVYpDMXDo4MxDynB/oBna3ehq lKVqmZkXfGTG7ek6wMbvoPo7439xiX1RHyrmKn/z5gl6ub4Y3IVkxbGsGljeobYg 4pMFr0cqZb138VjaLtbbbQE1pP2OnIDoE3wsOqbEQ951OAXrDpK3D5Eivdq2G66y YmSSmLgbSlgU5aHU6iqpkMFwT/HHfLZ6Ete2IQCikmtGjaUR80zcacrg0nlcqzCL U0yEbZx27N+XwQSgBvply/d82HaJS+ru5FjSp1helprDbqVu2jVdcdFnOaJNeUPG ziK17rUo9yYWabvo1CEyqsUOM6GZNg4dLAd0mZKoq5mtYpFEa35vSzvEwne/YTav 8bOjcDX7PEYEykz0N9xjWJttmaEk7YXfuexVWSDRJN/GSU9fN/BcbxTWVWvlDj9W R4sM4aLpvhJiElM0oJcoilYonWkZ1A88ySOjRetxFgr+h5lnOaxpGdE6C3e9Cxv8 LYka1a6elzZm -----END CERTIFICATE-----

Création d’une demande certificat signé (CSR)

Un CSR est un message qui, une fois soumis au CA, permet de générer un certificat. Nous allons aborder la génération du CSR à travers deux exemples : l’un destiné à un certificat pour serveur, l’autre pour un utilisateur.

Ici le certificat sera utilisé par un service comme Apache ou autres,  il ne doit pas être protégé par unmot de passe “pass phrase“.

root@osn:/#openssl req -new -nodes -newkey rsa:2048 -keyout private/secuserver.key -out secuserver.csr -config ca-config.cnf
  • -nodes : pas de mot de passe pass phrase
Generating a 2048 bit RSA private key ........+++ ..+++ writing new private key to 'private/secuserver.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

State or Province Name (full name) [Franche Comte]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Locality Name (eg, city) [Les Fins]:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Organization Name (eg, company) [mondomaine.com]:

Ne rien mettre

Organizational Unit Name (eg, section) []:

Faites entrer comme c’est mis par défaut dans le fichier ca-config.cnf

Common Name (e.g. server FQDN or YOUR name) []:mondomaine.com

Ajouter votre adresse mail

Email Address []:admin@mondomaine.com

Cette partie est une option qui n’est pas obligatoire.

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:

Maintenant nous allons faire la même chose mais nous allons protéger par un mot de passe pass phrase car ça va être utiliser par des personnes et non par des robots.

root@osn:/#openssl req -new -newkey rsa:2048 -keyout private/secu_mondomaine.key -out secu_mondomaine.csr -config ca-config.cnf

Mettez un mot de passe pass phrase

Generating a 2048 bit RSA private key .............................................................................................+++ ........+++ writing new private key to 'private/secu_mondomaine.key' Enter PEM pass phrase: Verifying - Enter PEM pass phrase:

Répondez aux questions demandées, c’est la même chose que plus haut.

----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Franche Comte]: Locality Name (eg, city) [Les Fins]: Organization Name (eg, company) [mondomaine.com]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:secu-mondomaine Email Address []:admin@mondomaine.com

Cette partie est une option qui n’est pas obligatoire.

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Création d’un certificat signé

Utilisons nos CSR pour générer nos certificats.

root@osn:/#openssl ca -config ca-config.cnf -policy policy_anything -out certs/webserver.crt -infiles webserver.csr
  • ca : application CA minimale qui peut être utilisée pour signer des demandes de certificats.
  • -config ca-config : possibilité d’utilisé dans un autre fichier de celui d’origine d’openssl.cnf
  • -policy policy_anything : cette option définit la « politique » de la CA à utiliser. Il s’agit d’une section du fichier de configuration spécifiant les champs qui sont obligatoires ou qui doivent correspondre au certificat de la CA.
  • -out certs/webserver.crt : spécifie le nom du fichier (le certificat) de sortie.
  • -infiles webserver.csr : le ou les fichiers CSR à utiliser.

1 Commentaire