Créer une autorité de certification SSL sous Linux/Debian/Ubuntu

Créer une autorité de certification

Créer une autorité de certification

I. Présentation

Dans ce tutoriel, je vais vous expliquer comment créer une autorité de certification, vous pourrez ainsi créer et signer vos propres certificats


II – Installation des paquets :

III – Configuration :

OpenSSL sur Debian/Ubuntu est fourni avec deux fichiers qui rendent le travail d’un CA beaucoup plus facile.

Ces deux fichiers sont situés dans /usr/lib/ssl/misc et se nomment respectivement CA.pl et CA.sh.

Nous utiliserons CA.pl dans la suite de cet article avant de poursuivre il nous faut le configurer ainsi que le fichier de configuration de OpenSSL situé dans /etc/ssl/openssl.cnf car par défaut tout sera stocké dans le répertoire local ./demoCA et nous souhaitons personnaliser les paramètres suivants :

  • La durée de vie de notre CA sera de 10 ans.
  • Nos certificats SSL auront une durée de 2 ans.
  • Les informations de CA seront stockées dans /etc/ssl/ca.
  • L’encodage sera en 2048 bits RSA de nos certificats.
  • Nous souhaitons modifier le répertoire de sortie

Modifications du fichier /usr/lib/ssl/misc/CA.pl :

Chercher les variables $DAYS, $CADAYS, $CATOP et changer les pour qu’elles ressemblent à ça :

Dernière modification il faut que nos certificats CA aient une clef 2048 RSA au lieu des 1024 RSA par défaut, pour cela cherchez la ligne print “Making CA certificate …\n”; et fair les changements suivants :

Modification du fichier /etc/ssl/openssl.cnf :

Les changements doivent correspondre à vos modifications de CA.p, voici comment doit être structuré votre fichier openssl.cnf :

IV – Génération du certificat CA et de la zone de stockage :

Lancez la commande suivante qui aura pour effet de générer votre certificat CA (Certification Autority) :

– Appuyez sur la touche entrée pour le nom du certificat par défaut.
– Saisissez un bon mot de passe, celui-ci protège votre CA.
– Il vous sera demandé les détails du certificat (pays, etc).
– Le mot de passe vous sera demandé pour générer le certificat.

Votre nouvelle Autorité de certification est créer, cela correspond au fichier cacert.pem qui est disponible dans /root/autoriteCA/cacert.pem.

Vous pouvez désormais le distribuer pour l’installation dans les navigateurs ou applications pour que l’ensemble des certificats générés soit reconnu valide par vos applications.

V – Génération d’un certificat :

Créer le dossier /root/autoriteCA/mon_premier_certificat/

Création du certificat :

Il vous sera demandé les détails du certificat, il faut mettre en CN un nom basique dans notre exemple on choisira www.ec0.com.

On obtient dans le répertoire de travail les 2 fichiers suivants :

  • newkey.pem
  • newreq.pem

Le fichier newreq.pem (fichier csr) nous servira pour la signature avec notre CA mais on peut aussi aussi se servir de celui-ci pour l’achat d’un certificat auprès provider de certificat SSL.

Suppression du mot de passe sur le certificat  :

Par défaut, il y’a un mot de passe pour ce nouveau certificat, cela peut être bloquant pour les applications qui se lancent au démarrage de votre système.

Il faut donc enlever ce mot de passe du certificat, rien de plus simple il suffit de lancer la commande suivante  :

Le mot de passe vous sera demandé une dernière fois et cela générera une clef sans mot de passe.

Signature d’une demande de certificat :

Cela signe la demande et génère un “newcert.pem” dans le répertoire de travail, le mot de passe du CA vous sera demandé une dernière fois pour signer le certificat.

Flori@n

Moi c'est Florian, j'ai 32 ans. J'ai découvert l'informatique à 17 ans et eu ma première connexion Internet à 23 ans. On ne va donc pas dire que j'ai été très précoce dans ce domaine... Quoiqu'il en soit, depuis je passe en moyenne 8 heures par jour sur un PC et ce qui est assez bizarre c'est que j'aime ça et j'en redemande le soir et le week-end. Je suis donc quelqu'un de bizarre, mais je n'ai aucun problème avec ça !!!

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

%d blogueurs aiment cette page :