Différences

Ci-dessous, les différences entre deux révisions de la page.

--- easyrsaca [2022/10/06 08:56] – [Création et signature d’une demande de certificat sur le serveur à sécuriser] admin
+++ easyrsaca [2023/11/26 14:40] (Version actuelle) – [Création et signature d’une demande de certificat sur le serveur à sécuriser] admin
@@ Ligne 58: / Ligne 58: @@
 Deux fichiers ont été créés :
-  * ca.crt c'est le certificat public de l'AC. C'est ce fichier qu'il faut distribuer aux différents clients.
+  * ca.crt c'est le certificat public de l'AC. C'est ce fichier qu'il faut distribuer aux différents clients. Il se trouve dans le dossier **//pki//**
-  *  ca.key qui est la clé privée de l'AC.
+  *  ca.key qui est la clé privée de l'AC, présente dans **//pki/private//**
+===== Ajout du certificat de l'autorité sur le client =====
+L'autorité ainsi créée n'est pas reconnu par les navigateurs.
+Il est donc nécessaire d'ajouter le certificat de l'autorité au navigateur pour qu'il puisse l'interroger pour faire valider les certificats des serveurs qu'elle a signé.
+**__Procédure__**
+  * Récupérer le certificat ca.crt de l'AC
+  * Aller dans les **//paramètres//** du navigateur (la démarche est décrite pour Firefox),
+    * dans la partie **//vie privée et sécurité//**
+    * **//afficher les certificats//**
+    * **//importer le certificat//**
 ===== Gestion des demandes de certificat authentique =====
 <WRAP center round box 60%>
@@ Ligne 83: / Ligne 96: @@
 apt update
 apt install openssl
+//pour les certificats
 mkdir /etc/ssl/certs
-cd /etc/ssl/certs
+//pour les clés privées
+mkdir /etc/ssl/private
+cd /etc/ssl/private
 //création de la clé privée
 openssl genrsa -out <nomcle.key>
@@ Ligne 95: / Ligne 111: @@
 <wrap em>Après cela il faut copier le fichier **.csr** sur l'**Autorité**</wrap>
+On le fera avec un compte d'accès basique dans le dossier **///tmp//**.
 <code lscript>scp <demandeCertif.csr> <compte>@<machineAutorite>:/<dossierDestination> </code>
 ==== Signature d’une CSR sur l'AC ====
+**On agit à présent sur l'autorité pour signer la demande et produire le certificat**
 <WRAP center round important 60%>
 On suppose que le fichier de requête est présent dans le dossier /tmp sur l'AC.
@@ Ligne 105: / Ligne 124: @@
 <code lscript>cd ~/easy-rsa
 //importe la demande sous un nom qui gardera la trace sur l'AC
-./easyrsa import-req /tmp/server-web.req <certif_server-web>
+./easyrsa import-req /tmp/<demandeCertif.csr> <certif_nomserver>
-//signe la demande importée à destination d'un 'server' (pourrait être 'client' ou 'ca'
+//signe la demande importée à destination d'un 'server' (pourrait être 'client' ou 'ca')
-./easyrsa sign-req server <certif_server-web></code>
+./easyrsa sign-req server <certif_nomserver></code>
-Il faut récupérer le fichier .crt au chemin suivant : ~/easy-rsa/pki/issued/certif_server-web.crt et le copier sur le serveur à sécuriser dans le dossier qui contient ses certificats.
+Il faut **récupérer le fichier .crt** au chemin suivant : **//~/easy-rsa/pki/issued/certif_nomserver.crt//** et le copier sur le serveur à sécuriser dans le dossier qui contient ses certificats.
+<code lscript>scp ~/easy-rsa/pki/issued/<certif_nomserver>.crt <comptedistant>@<serveraSecuriser>:/<dossier></code>
-Voir ensuite SSL/TLS pour le passage de HTTP vers HTTPS d'un site en prenant en compte ce certificat authentique.
+Voir ensuite [[https://wiki.inforostand14.net/doku.php?id=ssl#configuration_d_apache_avec_ssl_tls|SSL/TLS]] pour le passage de HTTP vers HTTPS d'un site en prenant en compte ce certificat authentique.
 ===== Révocation de certificat authentique =====
@@ Ligne 133: / Ligne 153: @@
 On devra importer la liste sur les serveurs devant prendre en compte la nouvelle liste des révocations
 <code lscript>openssl crl -in <chemin>/crl.pem -noout -text</code>