« Certificats SSL Web » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation d'Apache2 Paramétrage courant
(Page créée avec « {{Serveur Web}} __TOC__ Category:Serveur Web ») |
|||
| (8 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 2 : | Ligne 2 : | ||
__TOC__ | __TOC__ | ||
== Architecture & Organisation == | |||
* Les certificats pour les sites web nécessitant une connexion SSL sont stockés dans le répertoire : | |||
/etc/ssl/private | |||
* Et sont nommés tel que définit : | |||
** domaine.tld.'''key''' : fichier de clé privé pour le site exemple. | |||
** domaine.tld.'''csr''' : fichier de demande de certificat pour le site exemple. | |||
** domaine.tld.'''crt''' : certificat SSL pour le site exemple. | |||
<br /> | |||
* Le cas échéant, le programme '''certbot''' sera utilisé pour générer des certificats '''Let's Encrypt'''. | |||
== Générer une demande de certificat == | |||
=== Pour quel(s) usage(s) ? === | |||
Si vous souhaiter : | |||
* Acheter un certificat auprès d'un fournisseur de certificat agréé par une '''Autorité Racine de confiance'''. | |||
* Générer un certificat auprès d'une '''Autorité de Certification''' interne ''(celle de votre entreprise)''. | |||
Vous devrez alors procéder à la génération d'un '''fichier de demande de certificat''' ''(fichier .csr)''. | |||
Ce fichier sera demandé par l''''Autorité de Certification''' pour pouvoir générer le '''certificat signé'''. | |||
=== Procéder à la génération de la demande de certificat === | |||
* Depuis la racine '''/etc/ssl/private''', créer le fichier '''demande_domaine.tld.txt''' et y insérer / <span style="color:orange">adapter</span> les éléments suivants : | |||
[req] | |||
default_bits = 2048 | |||
prompt = no | |||
default_md = sha256 | |||
req_extensions = req_ext | |||
distinguished_name = dn | |||
[dn] | |||
C=FR | |||
ST=<span style="color:orange">REGION</span> | |||
L=<span style="color:orange">VILLE</span> | |||
O=<span style="color:orange">SOCIETE</span> | |||
OU=<span style="color:orange">SERVICE</span> | |||
emailAddress=<span style="color:orange">support@domaine.tld</span> | |||
CN = <span style="color:orange">domaine.tld</span> | |||
[req_ext] | |||
subjectAltName = @alt_names | |||
[alt_names] | |||
DNS.1 = <span style="color:orange">domaine.tld</span> | |||
DNS.2 = <span style="color:orange">www.domaine.tld</span> | |||
IP.1 = <span style="color:orange"><@IP_PUBLIQUE></span> | |||
* Depuis ce même dossier, procéder à la génération de la '''demande de certificat''' au format de fichier '''.csr''' : | |||
{{ Box Console | objet=root@apache2:~# openssl req -sha256 -nodes -newkey rsa:2048 -keyout domaine.tld.key -out domaine.tld.csr -config demande_domaine.tld.txt }} | |||
* Pour pouvoir être récupéré à l’aide d’un '''client SFTP''', copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en '''lecture+écriture''' pour tout le monde : | |||
{{ Box Console | objet=root@apache2:~# cp domaine.tld.csr /var/www/domaine.tld<br /> | |||
root@apache2:~$ chmod 777 /var/www/domaine.tld.csr }} | |||
* Une fois le '''fichier de demande de certificat''' ''(.csr)'' récupéré, plusieurs options s'offrent à vous : | |||
** Si vous disposez d'une '''Autorité de Certification''' privée '''Microsoft''', reportez-vous à la section [[:Role_Active_Directory_Certificate_Service#Signer_un_certificat_Web | Signer un certificat depuis l'AC Microsoft locale]]. | |||
** Si vous souhaitez acheter un certificat auprès d'un revendeur spécialisé, munissez-vous du présent fichier pour effectuer votre demande. | |||
[[Category:Serveur Web]] | [[Category:Serveur Web]] | ||
Dernière version du 7 juillet 2024 à 02:16
— Serveur Web —
Certificats SSL Web | .htaccess | Authentification par carte à puce | Certificats Let's Encrypt
Archives : Ancien article sur Apache2 | Module Whois | ProFTPd
Architecture & Organisation
- Les certificats pour les sites web nécessitant une connexion SSL sont stockés dans le répertoire :
/etc/ssl/private
- Et sont nommés tel que définit :
- domaine.tld.key : fichier de clé privé pour le site exemple.
- domaine.tld.csr : fichier de demande de certificat pour le site exemple.
- domaine.tld.crt : certificat SSL pour le site exemple.
- Le cas échéant, le programme certbot sera utilisé pour générer des certificats Let's Encrypt.
Générer une demande de certificat
Pour quel(s) usage(s) ?
Si vous souhaiter :
- Acheter un certificat auprès d'un fournisseur de certificat agréé par une Autorité Racine de confiance.
- Générer un certificat auprès d'une Autorité de Certification interne (celle de votre entreprise).
Vous devrez alors procéder à la génération d'un fichier de demande de certificat (fichier .csr).
Ce fichier sera demandé par l'Autorité de Certification pour pouvoir générer le certificat signé.
Procéder à la génération de la demande de certificat
- Depuis la racine /etc/ssl/private, créer le fichier demande_domaine.tld.txt et y insérer / adapter les éléments suivants :
[req] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [dn] C=FR ST=REGION L=VILLE O=SOCIETE OU=SERVICE emailAddress=support@domaine.tld CN = domaine.tld [req_ext] subjectAltName = @alt_names [alt_names] DNS.1 = domaine.tld DNS.2 = www.domaine.tld IP.1 = <@IP_PUBLIQUE>
- Depuis ce même dossier, procéder à la génération de la demande de certificat au format de fichier .csr :
|
|
|
- Pour pouvoir être récupéré à l’aide d’un client SFTP, copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en lecture+écriture pour tout le monde :
|
|
|
- Une fois le fichier de demande de certificat (.csr) récupéré, plusieurs options s'offrent à vous :
- Si vous disposez d'une Autorité de Certification privée Microsoft, reportez-vous à la section Signer un certificat depuis l'AC Microsoft locale.
- Si vous souhaitez acheter un certificat auprès d'un revendeur spécialisé, munissez-vous du présent fichier pour effectuer votre demande.