CACert » Historique » Version 4
Raphaël Durand, 04/09/2013 22:25
1 | 2 | Laurent GUERBY | {{>toc}} |
---|---|---|---|
2 | 2 | Laurent GUERBY | |
3 | 1 | Raphaël Durand | h1. CACert |
4 | 1 | Raphaël Durand | |
5 | 2 | Laurent GUERBY | h2. Verificateurs |
6 | 1 | Raphaël Durand | |
7 | 3 | Raphaël Durand | https://www.ssllabs.com/ssltest/index.html (ne reconnait pas CAcert) |
8 | 2 | Laurent GUERBY | |
9 | 2 | Laurent GUERBY | h2. openssl |
10 | 1 | Raphaël Durand | |
11 | 3 | Raphaël Durand | Voici un tutorial pour fabriquer vos propres certificats CACert. |
12 | 3 | Raphaël Durand | En prérequis, vous devez disposer d'un Compte CACert et avoir été assuré pour un minimum de 50 |
13 | 3 | Raphaël Durand | |
14 | 4 | Raphaël Durand | Pour créer le certificat, il faut lancer OpenSSL avec la commande suivante : |
15 | 4 | Raphaël Durand | <pre> |
16 | 1 | Raphaël Durand | openssl req -new ânodes -keyout server.key -out server.csr -config /etc/ssl/req.conf |
17 | 4 | Raphaël Durand | </pre> |
18 | 3 | Raphaël Durand | L'option -config permet d'appeller un fichier de configuration spécifique. |
19 | 1 | Raphaël Durand | |
20 | 3 | Raphaël Durand | Voici le contenu de ce fichier de conf spécifique |
21 | 1 | Raphaël Durand | /etc/ssl/cacert.conf |
22 | 4 | Raphaël Durand | <pre> |
23 | 1 | Raphaël Durand | [ req ] |
24 | 1 | Raphaël Durand | default_bits = 1024 |
25 | 1 | Raphaël Durand | default_keyfile = privkey.pem |
26 | 1 | Raphaël Durand | distinguished_name = req_distinguished_name |
27 | 1 | Raphaël Durand | req_extensions = req_ext # The extentions to add to the self signed cert |
28 | 1 | Raphaël Durand | |
29 | 1 | Raphaël Durand | [ req_distinguished_name ] |
30 | 1 | Raphaël Durand | commonName = Common Name (eg, YOUR name) |
31 | 1 | Raphaël Durand | commonName_max = 64 |
32 | 1 | Raphaël Durand | |
33 | 1 | Raphaël Durand | [ req_ext ] |
34 | 1 | Raphaël Durand | subjectAltName = @alt_names |
35 | 1 | Raphaël Durand | |
36 | 1 | Raphaël Durand | [alt_names] |
37 | 4 | Raphaël Durand | subjectAltName=IP:192.168.7.1 |
38 | 1 | Raphaël Durand | DNS.1 = mail.exemple.com |
39 | 3 | Raphaël Durand | DNS.2 = www.exemple.com |
40 | 4 | Raphaël Durand | </pre> |
41 | 1 | Raphaël Durand | |
42 | 4 | Raphaël Durand | Il contient uniquement les champs utiles pour CACert c'est à dire le Common Name (a remplir lors de la création du certificat) et les alt-names (a renseigner en dur dans le fichier de conf avant de lancer la création du certificat) |
43 | 4 | Raphaël Durand | Le Common Name doit être un nom évocateur permettant d'évoquer immédiatement la fonction du certificat. (exemples : www.exemple.com pour le Web, mail.exemple.com pour les Mails,etc...) |
44 | 4 | Raphaël Durand | Les SubjectAltName doivent contenir la liste exhaustive des sous-domaines à valider. Pour tout sous domaine non présent dans la liste, le serveur affichera une erreur de sécurité. |
45 | 4 | Raphaël Durand | |
46 | 4 | Raphaël Durand | Une autre solution pour ne pas se retrouver avec des listes de sous-domaine à rallonge est d'utiliser les wildcard. |
47 | 4 | Raphaël Durand | Vous pouvez ainsi entrer comme subjectAltName *.exemple.com qui couvrira tous les sous-domaines de 1er niveau comme mail.exemple ou www.exemple. Mais attention, les sous-domaines de second niveau comme cdn.www.exemple ne seront pas reconnus. Pour valider ce domaine, il faut utiliser le wildcard suivant : *.*.exemple.com (et ainsi de suite si il existe d'autres niveaux). |