« Certificats SSL Web » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation d'Apache2 Paramétrage courant
| (6 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 11 : | Ligne 11 : | ||
** domaine.tld.'''csr''' : fichier de demande de certificat pour le site exemple. | ** domaine.tld.'''csr''' : fichier de demande de certificat pour le site exemple. | ||
** domaine.tld.'''crt''' : certificat SSL pour le site exemple. | ** domaine.tld.'''crt''' : certificat SSL pour le site exemple. | ||
* Le cas échéant, le programme certbot sera utilisé pour générer des certificats Let's Encrypt. | <br /> | ||
* Le cas échéant, le programme '''certbot''' sera utilisé pour générer des certificats '''Let's Encrypt'''. | |||
== Générer une demande de certificat == | == Générer une demande de certificat == | ||
| Ligne 18 : | Ligne 19 : | ||
Si vous souhaiter : | Si vous souhaiter : | ||
* Acheter un certificat auprès d'un fournisseur de certificat agréé par une | * Acheter un certificat auprès d'un fournisseur de certificat agréé par une '''Autorité Racine de confiance'''. | ||
* Générer un certificat auprès d'une | * Générer un certificat auprès d'une '''Autorité de Certification''' interne ''(celle de votre entreprise)''. | ||
Vous devrez alors procéder à la génération d'un fichier de demande de certificat. | Vous devrez alors procéder à la génération d'un '''fichier de demande de certificat''' ''(fichier .csr)''. | ||
Ce fichier sera demandé par l''''Autorité de Certification''' pour pouvoir générer le '''certificat signé'''. | |||
=== Procéder à la génération de la demande de certificat === | === Procéder à la génération de la demande de certificat === | ||
| Ligne 59 : | Ligne 60 : | ||
* Pour pouvoir être récupéré à l’aide d’un '''client SFTP''', copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en '''lecture+écriture''' pour tout le monde : | * Pour pouvoir être récupéré à l’aide d’un '''client SFTP''', copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en '''lecture+écriture''' pour tout le monde : | ||
{{ Box Console | objet=root@apache2:~# cp | {{ Box Console | objet=root@apache2:~# cp domaine.tld.csr /var/www/domaine.tld<br /> | ||
root@apache2:~$ chmod 777 /var/www/domaine.tld.csr }} | root@apache2:~$ chmod 777 /var/www/domaine.tld.csr }} | ||
* Une fois le '''fichier de demande de certificat''' ''(.csr)'' récupéré, plusieurs options s'offrent à vous : | |||
** Si vous disposez d'une '''Autorité de Certification''' privée '''Microsoft''', reportez-vous à la section [[:Role_Active_Directory_Certificate_Service#Signer_un_certificat_Web | Signer un certificat depuis l'AC Microsoft locale]]. | |||
** Si vous souhaitez acheter un certificat auprès d'un revendeur spécialisé, munissez-vous du présent fichier pour effectuer votre demande. | |||
[[Category:Serveur Web]] | [[Category:Serveur Web]] | ||
Dernière version du 7 juillet 2024 à 02:16
— Serveur Web —
Certificats SSL Web | .htaccess | Authentification par carte à puce | Certificats Let's Encrypt
Archives : Ancien article sur Apache2 | Module Whois | ProFTPd
Architecture & Organisation
- Les certificats pour les sites web nécessitant une connexion SSL sont stockés dans le répertoire :
/etc/ssl/private
- Et sont nommés tel que définit :
- domaine.tld.key : fichier de clé privé pour le site exemple.
- domaine.tld.csr : fichier de demande de certificat pour le site exemple.
- domaine.tld.crt : certificat SSL pour le site exemple.
- Le cas échéant, le programme certbot sera utilisé pour générer des certificats Let's Encrypt.
Générer une demande de certificat
Pour quel(s) usage(s) ?
Si vous souhaiter :
- Acheter un certificat auprès d'un fournisseur de certificat agréé par une Autorité Racine de confiance.
- Générer un certificat auprès d'une Autorité de Certification interne (celle de votre entreprise).
Vous devrez alors procéder à la génération d'un fichier de demande de certificat (fichier .csr).
Ce fichier sera demandé par l'Autorité de Certification pour pouvoir générer le certificat signé.
Procéder à la génération de la demande de certificat
- Depuis la racine /etc/ssl/private, créer le fichier demande_domaine.tld.txt et y insérer / adapter les éléments suivants :
[req] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [dn] C=FR ST=REGION L=VILLE O=SOCIETE OU=SERVICE emailAddress=support@domaine.tld CN = domaine.tld [req_ext] subjectAltName = @alt_names [alt_names] DNS.1 = domaine.tld DNS.2 = www.domaine.tld IP.1 = <@IP_PUBLIQUE>
- Depuis ce même dossier, procéder à la génération de la demande de certificat au format de fichier .csr :
|
|
|
- Pour pouvoir être récupéré à l’aide d’un client SFTP, copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en lecture+écriture pour tout le monde :
|
|
|
- Une fois le fichier de demande de certificat (.csr) récupéré, plusieurs options s'offrent à vous :
- Si vous disposez d'une Autorité de Certification privée Microsoft, reportez-vous à la section Signer un certificat depuis l'AC Microsoft locale.
- Si vous souhaitez acheter un certificat auprès d'un revendeur spécialisé, munissez-vous du présent fichier pour effectuer votre demande.