Installer et configurer Openssl
Openssl c’est quoi ?
Openssl est un paquet pour utiliser le protocole Ssl.
Ssl est un complément indépendant du protocole utilisé. C’est une couche supplémentaire entre la couche application (http,ftp) et la couche transport (tcp/ip). 9a permet de sécuriser les différents protocoles comme http, ftp, pop,imap, etc …
Les différents certificats
Le certificat permet d’associer une clé publique à une entité (personne, une machine etc…) , il est délivré par l’autorité de certification son abréviation est CA. Elle a pour but de délivrer et vérifier la date de validité.
Structure d’un certificat
Un certificat est constitué de divers information :
- le nom de l’autorité de certification
- le nom de l’entité du propriétaire du certificat
- la date de fin de validité du certificat
- l’algorithme de chiffrement utilisé
- la clé publique de l’entité propriétaire
Installer Openssl
Pour installer Openssl, vous devez vous mettre en root dans votre console.
[code]apt-get install openssl[/code]
L’installation Openssl sait bien passer alors nous pouvons commencer la configuration.
Configuration
Pour générer une clé privée pour votre domaine www.votredomaine.fr, tapez la commande suivante :
[code]openssl genrsa -des3 -out www.votredomaine.fr.privkey 1024 -rand /etc/ssl/privee [/code]
Il va vous demander un mot de passe, mais vous pouvez éviter ce message en enlevant -des3.
Voici ce que ça donne une fois que la clé est générée :
Maintenant que votre clé privée, nous allons créer le CSR.
CSR c’est quoi
Le CSR (Certificate Signing Request) est une demande d’information de votre certificat.
Country Name (2 letter code) [AU]:FR State or Province Name (full name) [Some-State]:Franche comté Locality Name (eg, city) []:Morteau Organization Name (eg, company) [Internet Widgits Pty Ltd]:LLB Organizational Unit Name (eg, section) []:osnetworking Common Name (eg, YOUR name) []:osnetworkingEmail Address []:contact@votredomaine.fr
Si votre clé privée à un mot de passe, il va vous le demander.
Créer son certificat privé (falcutatif)
Ce genre de certificat est utilisé qu’en interne.
Pour cela, il faut exécuter le script new-root-ca.sh pour créer un certificat autosigné. Il vous servira par la suite de la création d’autres certificat.
Executer la commande suivante :
[code]new-server-cert.sh www.votredomaine.fr[/code]
Ça permet de créer la clé privée et publique privée.
Maintenant vous pouvez signer le certificat de votre serveur.
[code]sign-user-cert.sh[/code]
Pour finir, nous allons créer un package avec clé privé, la clé signée et la clé publique dans un fichier portant l’extension .P12 qui pourra vous servir dans des applications.
[code]p12.sh[/code]
Maintenant nous avons deux fichiers :
- votredomaine.crt
- votredomaine.fr.prvkey
Il nous reste plus qu’à tester les certificats dans Apache. Nous verrons ça dans une autre article.
0 commentaires