J’ai déjà publié quelques articles sur le chiffrement et SSL, cette fois-ci je vous propose un petit article pour vous familiariser avec la création de certificat.
Et pour bien démarrer, nous allons créer un certificat auto-signé.
Comme vous le savez, OpenSSL permet la gestion les certificats utilisés dans les connexions SSL, que ce soit dans une contexte http ou ldap.
Si openssl n’est pas présent sur votre système Linux, ce qui serait plus que surprenant vous pouvez l’installer via un apt-get :
apt-get install opensslAvant de vous lancer dans l’installation, vous pouvez simplement sa presence et la version dont vous disposez :
openssl version
OpenSSL 1.0.1e 11 Feb 2013Commençons par le début et utilisons OpenSSL pour créer des clés 1 Création d’une clé privée Génération d'une clé privée, de 2048 bits, avec un algorithme DES3. Avec demande de pass phrase :
openssl genrsa -des3 -out ldap.key 2048Cette commande OpenSSL a pour effet de créer une clé SSL (fichier ldap.key), ne la perdez pas... c'est votre clé privée et pendant que j’y suis,n'oubliez pas de noter la pass phrase (un mot de passe). Vous pouvez visualiser votre clé avec une simple commande « cat » :
cat ldap.key
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,1CBD3262F69334DCAvant de continuer, Protégez votre fichier via une commande chmod :
Chmod 400 ldap.keyCréation d'un certificat auto-signé Pour créer un certificat auto signé, c'est à dire non certifié par une autorité de confiance (Verisign par exemple). Il n'est pas conseillé d'utiliser un certificat auto-signé pour un site public. La commande est la suivante ;
openssl req -new -x509 -days 3650 -key ldap.key -sha256 -extensions v3_ca -out certificat.crtLe système va vous demander de saisir des champs ; remplissez-les en adaptant sauf le champ "Common Name" qui doit être identique au nom d'hôte de votre serveur virtuel. Il est possible de visualiser le contenu de votre certificat via la commande suivante :
openssl x509 -in certificat.crt -text -nooutVoilà, vous disposez maintenant d'un certificat auto-signé bien pratique pour sécuriser, par exemple, vos connexion interne (entre deux serveurs privés par exemple).
![[VIYA] Passer CAS en mode debug](/wp-content/uploads/2018/07/administration-sas-viya.jpg)
