« Certificats SSL Web » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
Ligne 19 : Ligne 19 :


Si vous souhaiter :
Si vous souhaiter :
* Acheter un certificat auprès d'un fournisseur de certificat agréé par une autorité racine de confiance.
* Acheter un certificat auprès d'un fournisseur de certificat agréé par une '''Autorité Racine de confiance'''.
* Générer un certificat auprès d'une autorité de certificat interne ''(celle de votre entreprise)''.
* Générer un certificat auprès d'une '''Autorité de Certification''' interne ''(celle de votre entreprise)''.


Vous devrez alors procéder à la génération d'un fichier de demande de certificat.
Vous devrez alors procéder à la génération d'un '''fichier de demande de certificat''' ''(fichier .csr)''.


C'est ce fichier qui devra être fournit auprès de l'autorité de certification.
Ce fichier sera demandé par l''''Autorité de Certification''' pour pouvoir générer le '''certificat signé'''.


=== Procéder à la génération de la demande de certificat ===
=== Procéder à la génération de la demande de certificat ===

Version du 7 juillet 2024 à 00:44

Serveur Web

Installation d'Apache2 Paramétrage courant

Certificats SSL Web | .htaccess | Authentification par carte à puce | Certificats Let's Encrypt

Archives : Ancien article sur Apache2 | Module Whois | ProFTPd

Note de version

Architecture & Organisation

  • Les certificats pour les sites web nécessitant une connexion SSL sont stockés dans le répertoire :
/etc/ssl/private
  • Et sont nommés tel que définit :
    • domaine.tld.key : fichier de clé privé pour le site exemple.
    • domaine.tld.csr : fichier de demande de certificat pour le site exemple.
    • domaine.tld.crt : certificat SSL pour le site exemple.


  • Le cas échéant, le programme certbot sera utilisé pour générer des certificats Let's Encrypt.

Générer une demande de certificat

Pour quel(s) usage(s) ?

Si vous souhaiter :

  • Acheter un certificat auprès d'un fournisseur de certificat agréé par une Autorité Racine de confiance.
  • Générer un certificat auprès d'une Autorité de Certification interne (celle de votre entreprise).

Vous devrez alors procéder à la génération d'un fichier de demande de certificat (fichier .csr).

Ce fichier sera demandé par l'Autorité de Certification pour pouvoir générer le certificat signé.

Procéder à la génération de la demande de certificat

  • Depuis la racine /etc/ssl/private, créer le fichier demande_domaine.tld.txt et y insérer / adapter les éléments suivants :
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[dn]
C=FR
ST=REGION
L=VILLE
O=SOCIETE
OU=SERVICE
emailAddress=support@domaine.tld
CN = domaine.tld

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = domaine.tld
DNS.2 = www.domaine.tld
IP.1 = <@IP_PUBLIQUE>
  • Depuis ce même dossier, procéder à la génération de la demande de certificat au format de fichier .csr :

root@apache2:~# openssl req -sha256 -nodes -newkey rsa:2048 -keyout domaine.tld.key -out domaine.tld.csr -config demande_domaine.tld.txt

  • Pour pouvoir être récupéré à l’aide d’un client SFTP, copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en lecture+écriture pour tout le monde :

root@apache2:~# cp exemple.chvr.fr.csr /var/www/domaine.tld
root@apache2:~$ chmod 777 /var/www/domaine.tld.csr

Récupérée de « https://wiki.ncad.fr/index.php?title=Certificats_SSL_Web&oldid=3378 »