Outils pour utilisateurs

Outils du site


generer_un_certificat_signe_par_sa_propre_autorite

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

generer_un_certificat_signe_par_sa_propre_autorite [19/04/2009 16:05] (Version actuelle)
Ligne 1: Ligne 1:
 +{{tag>​apache2 authorité ssl https}}
 +====== Générer un certificat SSL pour Apache2 signé par sa propre autorité ======
  
 +Ce tutoriel va vous permettre de créer un certificat SSL pour Apache 2 comme décrit sur [[mettre_le_https_avec_apache_2.2_sous_debian|cette page]], mais cette fois au lieu que le certificat soit auto signé, il sera signé par une autorité que l'on va également créer.
 +
 +De cette façon, vous pourrez créer autant de certificat que vous souhaitez, il suffira d'​autoriser dans votre navigateur Internet le certificat d'​autorité pour être définitivement tranquille avec les boîtes de dialogue et autres avertissements de sécurité.
 +
 +===== Génération de notre propre autorité =====
 +
 +Ce qui suit doit être fait en utilisateur root.
 +
 +Exécutez les commandes suivantes :
 +
 +<​code>​
 +openssl genrsa -des3 -out ca.key 4096
 +openssl req -new -x509 -days 365 -key ca.key -out ca.crt
 +</​code>​
 +
 +La première commande vous demande une « pass phrase » pour protéger votre certificat d'​autorité.
 +
 +La deuxième va créer la clé et va donc vous demander la « pass phrase » que vous venez de donner.
 +Vous pouvez changer le paramètre days pour augmenter la durée de validité du certificat. Après cette période, il faudra recommencer la procédure.
 +
 +Ensuite, les informations habituelles d'un certificat vous sont demandées, tel que votre pays, votre région, etc...
 +Il faut surtout veiller à remplir le champ CommonName.
 +
 +Notre certificat d'​autorité est prêt.
 +
 +===== Génération du certificat pour Apache 2 =====
 +
 +Passons maintenant à la génération d'un certificat SSL pour un domaine.
 +
 +Lancer cette commande pour générer un fichier avec une « pass phrase » :
 +
 +<​code>​
 +openssl genrsa -des3 -out server.key 4096
 +</​code>​
 +
 +ou celle-ci pour ne pas avoir de « pass phrase »:
 +
 +<​code>​
 +openssl genrsa -out server.key 4096
 +</​code>​
 +
 +Ensuite, lancez cette commande pour entrer les informations du certificat :
 +
 +<​code>​
 +openssl req -new -key server.key -out server.csr
 +</​code>​
 +
 +Renseignez les champs avec attention, pour vous aider, référez vous à [[mettre_le_https_avec_apache_2.2_sous_debian|cette page]] qui vous explique comment entrer ce genre d'​informations,​ en particulier le champ CommonName.
 +
 +Enfin exécutez cette dernière commande :
 +
 +<​code>​
 +openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
 +</​code>​
 +
 +N'​oubliez pas d'​augmenter le chiffre du paramètre set_serial à chaque création d'un certificat. Vous pouvez également changer le nombre de jour avec le paramètre days pour augmenter la durée de validité du certificat.
 +
 +Voilà il ne vous reste plus qu'à paramétrer Apache 2 pour qu'il utilise ce certificat. Ensuite mettez à disposition de vos utilisateurs le fichier ca.crt qu'ils devront autoriser dans Internet Explorer ou Firefox.
 +
 +Un simple lien hypertexte vers le fichier rend possible l'​apprentissage dans Firefox et même IE.
generer_un_certificat_signe_par_sa_propre_autorite.txt · Dernière modification: 19/04/2009 16:05 (modification externe)