Outils pour utilisateurs

Outils du site


generer_un_certificat_signe_par_sa_propre_autorite

tag_apache2_authorite_ssl_https

Générer un certificat SSL pour Apache2 signé par sa propre autorité

Ce tutoriel va vous permettre de créer un certificat SSL pour Apache 2 comme décrit sur cette page, mais cette fois au lieu que le certificat soit auto signé, il sera signé par une autorité que l'on va également créer.

De cette façon, vous pourrez créer autant de certificat que vous souhaitez, il suffira d'autoriser dans votre navigateur Internet le certificat d'autorité pour être définitivement tranquille avec les boîtes de dialogue et autres avertissements de sécurité.

Génération de notre propre autorité

Ce qui suit doit être fait en utilisateur root.

Exécutez les commandes suivantes :

openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

La première commande vous demande une « pass phrase » pour protéger votre certificat d'autorité.

La deuxième va créer la clé et va donc vous demander la « pass phrase » que vous venez de donner. Vous pouvez changer le paramètre days pour augmenter la durée de validité du certificat. Après cette période, il faudra recommencer la procédure.

Ensuite, les informations habituelles d'un certificat vous sont demandées, tel que votre pays, votre région, etc… Il faut surtout veiller à remplir le champ CommonName.

Notre certificat d'autorité est prêt.

Génération du certificat pour Apache 2

Passons maintenant à la génération d'un certificat SSL pour un domaine.

Lancer cette commande pour générer un fichier avec une « pass phrase » :

openssl genrsa -des3 -out server.key 4096

ou celle-ci pour ne pas avoir de « pass phrase »:

openssl genrsa -out server.key 4096

Ensuite, lancez cette commande pour entrer les informations du certificat :

openssl req -new -key server.key -out server.csr

Renseignez les champs avec attention, pour vous aider, référez vous à cette page qui vous explique comment entrer ce genre d'informations, en particulier le champ CommonName.

Enfin exécutez cette dernière commande :

openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

N'oubliez pas d'augmenter le chiffre du paramètre set_serial à chaque création d'un certificat. Vous pouvez également changer le nombre de jour avec le paramètre days pour augmenter la durée de validité du certificat.

Voilà il ne vous reste plus qu'à paramétrer Apache 2 pour qu'il utilise ce certificat. Ensuite mettez à disposition de vos utilisateurs le fichier ca.crt qu'ils devront autoriser dans Internet Explorer ou Firefox.

Un simple lien hypertexte vers le fichier rend possible l'apprentissage dans Firefox et même IE.

generer_un_certificat_signe_par_sa_propre_autorite.txt · Dernière modification: 19/04/2009 16:05 (modification externe)