Différences

Ci-dessous, les différences entre deux révisions de la page.

--- easyrsaca [2023/11/26 14:23] – [Création d'une autorité de certification] admin
+++ easyrsaca [2025/11/13 11:36] (Version actuelle) – [Gestion des demandes de certificat authentique] serge.guerinet
@@ Ligne 35: / Ligne 35: @@
 <code lscript>
 cd ~/easy-rsa
-cp vars.example vars
+cp vars.example pki/vars
-nano vars</code>
+nano pki/vars</code>
 On ira modifier les paramétrages, notamment ceux d'identification de l'entreprise pour l'autorité (les numéros de ligne sont donnés à titre indicatif). On peut laisser les valeurs par défaut sur les algorithmes pour plus de compatibilité.
@@ Ligne 61: / Ligne 61: @@
   *  ca.key qui est la clé privée de l'AC, présente dans **//pki/private//**
+===== Ajout du certificat de l'autorité sur le client =====
+L'autorité ainsi créée n'est pas reconnu par les navigateurs.
+Il est donc nécessaire d'ajouter le certificat de l'autorité au navigateur pour qu'il puisse l'interroger pour faire valider les certificats des serveurs qu'elle a signé.
+**__Procédure__**
+  * Récupérer le certificat ca.crt de l'AC
+  * Aller dans les **//paramètres//** du navigateur (la démarche est décrite pour Firefox),
+    * dans la partie **//vie privée et sécurité//**
+    * **//afficher les certificats//**
+    * **//importer le certificat//**
 ===== Gestion des demandes de certificat authentique =====
 <WRAP center round box 60%>
 Procédure
-  * Sur la machine à sécuriser (avec [[ssl|SSL]])
+  * <wrap em>Sur la machine à sécuriser (avec [[ssl|SSL]])</wrap>
     * créer la clé privée
-    * créer la demande CSR
+    * créer la demande **CSR**
-    * envoyer le fichier CSR vers l'AC
+    * envoyer le fichier **CSR** vers l'**AC**
-  * sur l'AC
+  * <wrap em>sur l'AC</wrap>
-    * importer le fichier CSR
+    * importer le fichier **CSR**
-    * signer le fichier CSR
+    * signer le fichier **CSR**
-    * retourner le certificat généré vers le serveur à sécuriser
+    * retourner le certificat **CRT** généré vers le serveur à sécuriser
-  * sur le serveur à sécuriser
+  * <wrap em>sur le serveur à sécuriser</wrap>
-    * intégrer le certificat authentique dans la configuration du service à sécuriser (Web, FTP ou autre)
+    * intégrer le certificat **CRT** authentique dans la configuration du service à sécuriser (Web, FTP ou autre)
 </WRAP>
 ==== Création et signature d’une demande de certificat sur le serveur à sécuriser ====
-Si ce n'est pas déjà le cas, on crée la clé privée.
+**__Si ce n'est pas déjà le cas__**, on installe l'environnement.
 <WRAP center round tip 90%>
 <code lscript>
@@ Ligne 83: / Ligne 96: @@
 apt update
 apt install openssl
+//pour les certificats
 mkdir /etc/ssl/certs
-cd /etc/ssl/certs
+//pour les clés privées
+mkdir /etc/ssl/private
+cd /etc/ssl/private
+</code>
+</WRAP>
+**__si ce n'est pas fait, on crée la clé privée__**
+<WRAP center round tip 90%>
+<code lscript>
+cd /etc/ssl/private
 //création de la clé privée
 openssl genrsa -out <nomcle.key>
@@ Ligne 91: / Ligne 114: @@
 === création d'une demande CSR ===
-<code lscript>openssl req -new -key <nomcle.key> -out <demandeCertif.csr>
+<code lscript>cd /etc/ssl/certs
+openssl req -new -key ../private/<nomcle.key> -out <demandeCertif.csr>
 </code>
 <wrap em>Après cela il faut copier le fichier **.csr** sur l'**Autorité**</wrap>
+On le fera avec un compte d'accès basique dans le dossier **///tmp//**.
 <code lscript>scp <demandeCertif.csr> <compte>@<machineAutorite>:/<dossierDestination> </code>
@@ Ligne 135: / Ligne 161: @@
 On devra importer la liste sur les serveurs devant prendre en compte la nouvelle liste des révocations
 <code lscript>openssl crl -in <chemin>/crl.pem -noout -text</code>