WIKI SIO : DEPUIS 2017

Outils pour utilisateurs

Outils du site

Piste :
easyrsaca

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
easyrsaca [2022/10/06 08:52] – [Création et signature d’une demande de certificat sur le serveur à sécuriser] admineasyrsaca [2023/11/26 14:40] (Version actuelle) – [Création et signature d’une demande de certificat sur le serveur à sécuriser] admin
Ligne 58: Ligne 58:
  
 Deux fichiers ont été créés : Deux fichiers ont été créés :
-  * ca.crt c'est le certificat public de l'AC. C'est ce fichier qu'il faut distribuer aux différents clients. +  * ca.crt c'est le certificat public de l'AC. C'est ce fichier qu'il faut distribuer aux différents clients. Il se trouve dans le dossier **//pki//** 
-  *  ca.key qui est la clé privée de l'AC.+  *  ca.key qui est la clé privée de l'AC, présente dans **//pki/private//**
    
 +===== Ajout du certificat de l'autorité sur le client =====
 +L'autorité ainsi créée n'est pas reconnu par les navigateurs.
 +
 +Il est donc nécessaire d'ajouter le certificat de l'autorité au navigateur pour qu'il puisse l'interroger pour faire valider les certificats des serveurs qu'elle a signé.
 +
 +**__Procédure__**
 +  * Récupérer le certificat ca.crt de l'AC
 +  * Aller dans les **//paramètres//** du navigateur (la démarche est décrite pour Firefox), 
 +    * dans la partie **//vie privée et sécurité//**
 +    * **//afficher les certificats//**
 +    * **//importer le certificat//** 
 +
 +
 ===== Gestion des demandes de certificat authentique ===== ===== Gestion des demandes de certificat authentique =====
 <WRAP center round box 60%> <WRAP center round box 60%>
Ligne 78: Ligne 91:
 ==== Création et signature d’une demande de certificat sur le serveur à sécuriser ==== ==== Création et signature d’une demande de certificat sur le serveur à sécuriser ====
 Si ce n'est pas déjà le cas, on crée la clé privée.  Si ce n'est pas déjà le cas, on crée la clé privée. 
- 
 <WRAP center round tip 90%> <WRAP center round tip 90%>
 <code lscript> <code lscript>
Ligne 84: Ligne 96:
 apt update apt update
 apt install openssl  apt install openssl 
 +//pour les certificats
 mkdir /etc/ssl/certs mkdir /etc/ssl/certs
-cd /etc/ssl/certs+//pour les clés privées 
 +mkdir /etc/ssl/private  
 +cd /etc/ssl/private
 //création de la clé privée //création de la clé privée
 openssl genrsa -out <nomcle.key> openssl genrsa -out <nomcle.key>
Ligne 91: Ligne 106:
 </WRAP> </WRAP>
  
- +=== création d'une demande CSR ===
- +
-//création d'une demande CSR+
 <code lscript>openssl req -new -key <nomcle.key> -out <demandeCertif.csr> <code lscript>openssl req -new -key <nomcle.key> -out <demandeCertif.csr>
 </code> </code>
  
-<wrap em>Après cela il faut copier le fichier **.csr** sur l'AC</wrap>  +<wrap em>Après cela il faut copier le fichier **.csr** sur l'**Autorité**</wrap> 
-<code lscript>scp <demandeCertif.csr> <compte>@<machine>:/<dossierDestination> </code>+ 
 +On le fera avec un compte d'accès basique dans le dossier **///tmp//**. 
 + 
 +<code lscript>scp <demandeCertif.csr> <compte>@<machineAutorite>:/<dossierDestination> </code>
  
 ==== Signature d’une CSR sur l'AC ==== ==== Signature d’une CSR sur l'AC ====
 +**On agit à présent sur l'autorité pour signer la demande et produire le certificat**
 <WRAP center round important 60%> <WRAP center round important 60%>
 On suppose que le fichier de requête est présent dans le dossier /tmp sur l'AC. On suppose que le fichier de requête est présent dans le dossier /tmp sur l'AC.
Ligne 107: Ligne 124:
 <code lscript>cd ~/easy-rsa <code lscript>cd ~/easy-rsa
 //importe la demande sous un nom qui gardera la trace sur l'AC //importe la demande sous un nom qui gardera la trace sur l'AC
-./easyrsa import-req /tmp/server-web.req <certif_server-web+./easyrsa import-req /tmp/<demandeCertif.csr> <certif_nomserver
-//signe la demande importée à destination d'un 'server' (pourrait être 'client' ou 'ca' +//signe la demande importée à destination d'un 'server' (pourrait être 'client' ou 'ca') 
-./easyrsa sign-req server <certif_server-web></code>+./easyrsa sign-req server <certif_nomserver></code>
  
-Il faut récupérer le fichier .crt au chemin suivant : ~/easy-rsa/pki/issued/certif_server-web.crt et le copier sur le serveur à sécuriser dans le dossier qui contient ses certificats. +Il faut **récupérer le fichier .crt** au chemin suivant : **//~/easy-rsa/pki/issued/certif_nomserver.crt//** et le copier sur le serveur à sécuriser dans le dossier qui contient ses certificats.  
 +<code lscript>scp ~/easy-rsa/pki/issued/<certif_nomserver>.crt <comptedistant>@<serveraSecuriser>:/<dossier></code>
  
-Voir ensuite SSL/TLS pour le passage de HTTP vers HTTPS d'un site en prenant en compte ce certificat authentique.+Voir ensuite [[https://wiki.inforostand14.net/doku.php?id=ssl#configuration_d_apache_avec_ssl_tls|SSL/TLS]] pour le passage de HTTP vers HTTPS d'un site en prenant en compte ce certificat authentique.
  
 ===== Révocation de certificat authentique ===== ===== Révocation de certificat authentique =====
Ligne 135: Ligne 153:
 On devra importer la liste sur les serveurs devant prendre en compte la nouvelle liste des révocations  On devra importer la liste sur les serveurs devant prendre en compte la nouvelle liste des révocations 
 <code lscript>openssl crl -in <chemin>/crl.pem -noout -text</code> <code lscript>openssl crl -in <chemin>/crl.pem -noout -text</code>
 +
  
  
easyrsaca.1665046322.txt.gz · Dernière modification : 2022/10/06 08:52 de admin