dev:configuration_des_certificats_ssl
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
dev:configuration_des_certificats_ssl [2020/01/31 08:09] rdaulie |
— (current) | ||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | Connectez-vous sous root et allez dans le répertoire de configuration de votre serveur Apache2 / | ||
| - | Création du certificat serveur | ||
| - | Génération de la clé privée | ||
| - | |||
| - | On génère la clef privée avec la commande suivante en définissant un nom de fichier : | ||
| - | <code bash> | ||
| - | openssl genrsa 1024 > servwiki.key | ||
| - | </ | ||
| - | La sortie attendue est la suivante : | ||
| - | <code bash> | ||
| - | Generating RSA private key, 1024 bit long modulus | ||
| - | | ||
| - | | ||
| - | e is 65537 (0x10001) | ||
| - | </ | ||
| - | |||
| - | Si vous souhaitez que cette clé ait un mot de passe (qui vous sera demandé à chaque démarrage d' | ||
| - | |||
| - | Ceci a pour effet de créer une clé SSL (fichier servwiki.key), | ||
| - | |||
| - | Vous pouvez observer son contenu : less servwiki.key | ||
| - | |||
| - | <code bash> | ||
| - | -----BEGIN RSA PRIVATE KEY----- | ||
| - | MIICXgIBAAKBgQDQG9wvnuLC4aqzaJCAWGA1AxFzg00hjPObhq1mukzsGyuuWBFG | ||
| - | vj/ | ||
| - | 8w/ | ||
| - | AoGAHi0cBW+1k+qjFPbBlUq7UJSMUEKmyYmlvVSPCklTZB0gfVxZzPdDTpEcNks/ | ||
| - | yo+rLFSD9Vsvy/ | ||
| - | ZCf0CAs6wBft3yLU31Qc4WqVM2vTyUH76jebVhxEw8k63OUCQQD/ | ||
| - | ZTPFbzUeAE5rQqqOW4aoMNvM61Yn/ | ||
| - | g1okfogTAkEA0D7pDf/ | ||
| - | FZbjHJ4UcYyYaA8jIrkY+FIJM88YlGbWXwJBAILEdvJ5R/ | ||
| - | En8fw43XI5L0PB7Hxx6KDLVu4XzVYQyahTZBdqR0eMlUNZJBhJE2tO3wi2cCQQCp | ||
| - | JkCFd3es0BrNxqfzlThozRFofcz88za7TldydL0YcFtC4Sb4vWsYizwktZ6jcPEm | ||
| - | rQz8Gl9W7MO+ynwLptB/ | ||
| - | 2LImp/ | ||
| - | -----END RSA PRIVATE KEY----- | ||
| - | </ | ||
| - | |||
| - | Protégez votre fichier en faisant : chmod 400 servwiki.key | ||
| - | |||
| - | De multiples autres options sont possibles mais il est inutile d' | ||
| - | |||
| - | A partir de votre clé, vous allez maintenant créer un fichier de demande de signature de certificat (CSR Certificate Signing Request). | ||
| - | |||
| - | On génère la demande de certificat avec la commande suivante : | ||
| - | |||
| - | <code bash> | ||
| - | openssl req -new -key servwiki.key > servwiki.csr | ||
| - | </ | ||
| - | |||
| - | Le système va vous demander de saisir des champs ; remplissez-les en adaptant sauf le champ " | ||
| - | <code bash> | ||
| - | Country Name (2 letter code) [AU]:be | ||
| - | State or Province Name (full name) [Some-State]: | ||
| - | Locality Name (eg, city) []:brussels | ||
| - | Organization Name (eg, company) [Internet Widgits Pty Ltd]:ulb | ||
| - | Organizational Unit Name (eg, section) []:ltc | ||
| - | Common Name (eg, YOUR name) []: | ||
| - | Email Address []: | ||
| - | </ | ||
| - | |||
| - | Ce n'est pas la peine de saisir d' | ||
| - | |||
| - | Ceci a pour effet de créer le formulaire de demande de certificat (fichier servwiki.csr) à partir de notre clé privée préalablement créée. | ||
| - | |||
| - | Ce fichier contient la clé publique à certifier. Un less servwiki.csr nous donne : | ||
| - | <code bash> | ||
| - | -----BEGIN CERTIFICATE REQUEST----- | ||
| - | MIIBsTCCARoCAQAwcTELMAkGA1UEBhMCRlIxFTATBgNVBAgTDENvcnNlIGR1IFN1 | ||
| - | ZDEQMA4GA1UEBxMHQWphY2NpbzEMMAoGA1UEChMDTExCMREwDwYDVQQLEwhCVFMg | ||
| - | SU5GTzEYMBYGA1UEAxMPcHJvZi5idHNpbmZvLmZyMIGfMA0GCSqGSIb3DQEBAQUA | ||
| - | A4GNADCBiQKBgQDSUagxPSv3LtgDV5sygt12kSbN/ | ||
| - | f55dD1hSndlOM/ | ||
| - | vo+tCKTQoVItdEuJPMahVsXnDyYHeUURRWLWwc0BzEgFZGGw7wiMF6wt5QIDAQAB | ||
| - | oAAwDQYJKoZIhvcNAQEEBQADgYEAwwI4UvkfhBvyRrUXtjrLfZXLxZlF9o+URmHJ | ||
| - | ysvrLKfesVBEzdA9mqk1OwIwLfe8Fw2fhip2LGqvcCPxDMoIE/ | ||
| - | DMuy69lPTEB6UtpVKO/ | ||
| - | 4H8qZuk= | ||
| - | -----END CERTIFICATE REQUEST----- | ||
| - | </ | ||
| - | |||
| - | Maintenant il faut envoyer le fichier .csr à la Cellule Web/Centre de Calcul (Michel Jansens) et ainsi obtenir le certificat dûment signé par la société DigiCert. Ce certificat est placé dans le même répertoire que la clef / | ||
| - | |||
| - | En pratique on reçoit deux fichiers crt ; un qui correspond au serveur à sécuriser et un autre de l' | ||
| - | |||
| - | |||
| - | GnuTLS ne gère pas tout à fait les mêmes directives que mod_ssl pour l’indication des certificats, | ||
| - | |||
| - | Les directives suivantes remplacent celles de mod_ssl : | ||
| - | |||
| - | GnuTLSCertificateFile remplace SSLCertificateFile ; | ||
| - | GnuTLSKeyFile remplace SSLCertificateKeyFile ; | ||
| - | GnuTLSClientCAFile remplace SSLCACertificateFile (?); | ||
| - | |||
| - | Par contre il n’y a pas de directives pour remplacer : | ||
| - | |||
| - | SSLCertificateChainFile ; | ||
| - | | ||
| - | |||
| - | Ces deux dernières directives permettent de spécifier pour mod_ssl des certificats intermédiaires ou chainés. | ||
| - | |||
| - | |||
| - | On ajoute dans notre virtualhost : | ||
| - | <code bash> | ||
| - | GnuTLSEnable | ||
| - | GnuTLSKeyFile / | ||
| - | GnuTLSCertificateFile / | ||
| - | GnuTLSPriorities NONE: | ||
| - | </ | ||
| - | |||
| - | |||
| - | Références en ligne : | ||
| - | |||
| - | http:// | ||
dev/configuration_des_certificats_ssl.1580458190.txt.gz · Last modified: 2024/04/04 10:18 (external edit)
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
