easyrsaca

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
easyrsaca [2023/11/26 14:29] – [Révocation de certificat authentique] admineasyrsaca [2025/11/13 11:36] (Version actuelle) – [Gestion des demandes de certificat authentique] serge.guerinet
Ligne 35: Ligne 35:
 <code lscript> <code lscript>
 cd ~/easy-rsa cd ~/easy-rsa
-cp vars.example vars  +cp vars.example pki/vars  
-nano vars</code>+nano pki/vars</code>
  
 On ira modifier les paramétrages, notamment ceux d'identification de l'entreprise pour l'autorité (les numéros de ligne sont donnés à titre indicatif). On peut laisser les valeurs par défaut sur les algorithmes pour plus de compatibilité. On ira modifier les paramétrages, notamment ceux d'identification de l'entreprise pour l'autorité (les numéros de ligne sont donnés à titre indicatif). On peut laisser les valeurs par défaut sur les algorithmes pour plus de compatibilité.
Ligne 61: Ligne 61:
   *  ca.key qui est la clé privée de l'AC, présente dans **//pki/private//**   *  ca.key qui est la clé privée de l'AC, présente dans **//pki/private//**
    
 +===== Ajout du certificat de l'autorité sur le client =====
 +L'autorité ainsi créée n'est pas reconnu par les navigateurs.
 +
 +Il est donc nécessaire d'ajouter le certificat de l'autorité au navigateur pour qu'il puisse l'interroger pour faire valider les certificats des serveurs qu'elle a signé.
 +
 +**__Procédure__**
 +  * Récupérer le certificat ca.crt de l'AC
 +  * Aller dans les **//paramètres//** du navigateur (la démarche est décrite pour Firefox), 
 +    * dans la partie **//vie privée et sécurité//**
 +    * **//afficher les certificats//**
 +    * **//importer le certificat//** 
 +
 +
 ===== Gestion des demandes de certificat authentique ===== ===== Gestion des demandes de certificat authentique =====
 <WRAP center round box 60%> <WRAP center round box 60%>
 Procédure Procédure
-  * Sur la machine à sécuriser (avec [[ssl|SSL]])+  * <wrap em>Sur la machine à sécuriser (avec [[ssl|SSL]])</wrap>
     * créer la clé privée      * créer la clé privée 
-    * créer la demande CSR  +    * créer la demande **CSR**  
-    * envoyer le fichier CSR vers l'AC +    * envoyer le fichier **CSR** vers l'**AC** 
-  * sur l'AC +  * <wrap em>sur l'AC</wrap> 
-    * importer le fichier CSR +    * importer le fichier **CSR** 
-    * signer le fichier CSR +    * signer le fichier **CSR** 
-    * retourner le certificat généré vers le serveur à sécuriser +    * retourner le certificat **CRT** généré vers le serveur à sécuriser 
-  * sur le serveur à sécuriser +  * <wrap em>sur le serveur à sécuriser</wrap> 
-    * intégrer le certificat authentique dans la configuration du service à sécuriser (Web, FTP ou autre)+    * intégrer le certificat **CRT** authentique dans la configuration du service à sécuriser (Web, FTP ou autre)
 </WRAP> </WRAP>
  
 ==== Création et signature d’une demande de certificat sur le serveur à sécuriser ==== ==== Création et signature d’une demande de certificat sur le serveur à sécuriser ====
-Si ce n'est pas déjà le cas, on crée la clé privée+**__Si ce n'est pas déjà le cas__**, on installe l'environnement
 <WRAP center round tip 90%> <WRAP center round tip 90%>
 <code lscript> <code lscript>
Ligne 83: Ligne 96:
 apt update apt update
 apt install openssl  apt install openssl 
 +//pour les certificats
 mkdir /etc/ssl/certs mkdir /etc/ssl/certs
-cd /etc/ssl/certs+//pour les clés privées 
 +mkdir /etc/ssl/private  
 +cd /etc/ssl/private 
 +</code> 
 +</WRAP> 
 + 
 +**__si ce n'est pas fait, on crée la clé privée__** 
 +<WRAP center round tip 90%> 
 +<code lscript> 
 +cd /etc/ssl/private
 //création de la clé privée //création de la clé privée
 openssl genrsa -out <nomcle.key> openssl genrsa -out <nomcle.key>
Ligne 91: Ligne 114:
  
 === création d'une demande CSR === === création d'une demande CSR ===
-<code lscript>openssl req -new -key <nomcle.key> -out <demandeCertif.csr>+<code lscript>cd /etc/ssl/certs 
 +openssl req -new -key ../private/<nomcle.key> -out <demandeCertif.csr>
 </code> </code>
  
 <wrap em>Après cela il faut copier le fichier **.csr** sur l'**Autorité**</wrap> <wrap em>Après cela il faut copier le fichier **.csr** sur l'**Autorité**</wrap>
 +
 +On le fera avec un compte d'accès basique dans le dossier **///tmp//**.
  
 <code lscript>scp <demandeCertif.csr> <compte>@<machineAutorite>:/<dossierDestination> </code> <code lscript>scp <demandeCertif.csr> <compte>@<machineAutorite>:/<dossierDestination> </code>
Ligne 137: Ligne 163:
  
  
-===== Ajout du certificat de l'autorité sur le client ===== 
-L'autorité ainsi créée n'est pas reconnu par les navigateurs. 
  
-Il est donc nécessaire d'ajouter le certificat de l'autorité au navigateur pour qu'il puisse l'interroger pour faire valider les certificats des serveurs qu'elle a signé. 
- 
-**__Procédure__** 
-  * Récupérer le certificat ca.crt de l'AC 
-  * Aller dans les **//paramètres//** du navigateur (la démarche est décrite pour Firefox),  
-    * dans la partie **//vie privée et sécurité//** 
-    * **//afficher les certificats//** 
-    * **importer le certificat//**  
  • easyrsaca.1701008947.txt.gz
  • Dernière modification : 2023/11/26 14:29
  • de admin