CACert » Historique » Version 5
Raphaël Durand, 10/09/2013 23:41
| 1 | 2 | Laurent GUERBY | {{>toc}} |
|---|---|---|---|
| 2 | 2 | Laurent GUERBY | |
| 3 | 1 | Raphaël Durand | h1. CACert |
| 4 | 1 | Raphaël Durand | |
| 5 | 2 | Laurent GUERBY | h2. Verificateurs |
| 6 | 1 | Raphaël Durand | |
| 7 | 3 | Raphaël Durand | https://www.ssllabs.com/ssltest/index.html (ne reconnait pas CAcert) |
| 8 | 2 | Laurent GUERBY | |
| 9 | 2 | Laurent GUERBY | h2. openssl |
| 10 | 1 | Raphaël Durand | |
| 11 | 3 | Raphaël Durand | Voici un tutorial pour fabriquer vos propres certificats CACert. |
| 12 | 3 | Raphaël Durand | En prérequis, vous devez disposer d'un Compte CACert et avoir été assuré pour un minimum de 50 |
| 13 | 3 | Raphaël Durand | |
| 14 | 4 | Raphaël Durand | Pour créer le certificat, il faut lancer OpenSSL avec la commande suivante : |
| 15 | 4 | Raphaël Durand | <pre> |
| 16 | 1 | Raphaël Durand | openssl req -new ânodes -keyout server.key -out server.csr -config /etc/ssl/req.conf |
| 17 | 4 | Raphaël Durand | </pre> |
| 18 | 3 | Raphaël Durand | L'option -config permet d'appeller un fichier de configuration spécifique. |
| 19 | 1 | Raphaël Durand | |
| 20 | 3 | Raphaël Durand | Voici le contenu de ce fichier de conf spécifique |
| 21 | 1 | Raphaël Durand | /etc/ssl/cacert.conf |
| 22 | 4 | Raphaël Durand | <pre> |
| 23 | 1 | Raphaël Durand | [ req ] |
| 24 | 1 | Raphaël Durand | default_bits = 1024 |
| 25 | 1 | Raphaël Durand | default_keyfile = privkey.pem |
| 26 | 1 | Raphaël Durand | distinguished_name = req_distinguished_name |
| 27 | 1 | Raphaël Durand | req_extensions = req_ext # The extentions to add to the self signed cert |
| 28 | 1 | Raphaël Durand | |
| 29 | 1 | Raphaël Durand | [ req_distinguished_name ] |
| 30 | 1 | Raphaël Durand | commonName = Common Name (eg, YOUR name) |
| 31 | 1 | Raphaël Durand | commonName_max = 64 |
| 32 | 1 | Raphaël Durand | |
| 33 | 1 | Raphaël Durand | [ req_ext ] |
| 34 | 1 | Raphaël Durand | subjectAltName = @alt_names |
| 35 | 1 | Raphaël Durand | |
| 36 | 1 | Raphaël Durand | [alt_names] |
| 37 | 4 | Raphaël Durand | subjectAltName=IP:192.168.7.1 |
| 38 | 1 | Raphaël Durand | DNS.1 = mail.exemple.com |
| 39 | 3 | Raphaël Durand | DNS.2 = www.exemple.com |
| 40 | 4 | Raphaël Durand | </pre> |
| 41 | 1 | Raphaël Durand | |
| 42 | 4 | Raphaël Durand | Il contient uniquement les champs utiles pour CACert c'est à dire le Common Name (a remplir lors de la création du certificat) et les alt-names (a renseigner en dur dans le fichier de conf avant de lancer la création du certificat) |
| 43 | 4 | Raphaël Durand | Le Common Name doit être un nom évocateur permettant d'évoquer immédiatement la fonction du certificat. (exemples : www.exemple.com pour le Web, mail.exemple.com pour les Mails,etc...) |
| 44 | 4 | Raphaël Durand | Les SubjectAltName doivent contenir la liste exhaustive des sous-domaines à valider. Pour tout sous domaine non présent dans la liste, le serveur affichera une erreur de sécurité. |
| 45 | 4 | Raphaël Durand | |
| 46 | 4 | Raphaël Durand | Une autre solution pour ne pas se retrouver avec des listes de sous-domaine à rallonge est d'utiliser les wildcard. |
| 47 | 4 | Raphaël Durand | Vous pouvez ainsi entrer comme subjectAltName *.exemple.com qui couvrira tous les sous-domaines de 1er niveau comme mail.exemple ou www.exemple. Mais attention, les sous-domaines de second niveau comme cdn.www.exemple ne seront pas reconnus. Pour valider ce domaine, il faut utiliser le wildcard suivant : *.*.exemple.com (et ainsi de suite si il existe d'autres niveaux). |
| 48 | 5 | Raphaël Durand | |
| 49 | 5 | Raphaël Durand | Apache peut générer un avertissement qui doit être ignoré : [Tue Sep 10 18:31:14 2013] [warn] RSA server certificate CommonName (CN) `www.ultrawaves.fr' does NOT match server name!? |
| 50 | 5 | Raphaël Durand | (message obsolète : Apache ne sait pas lire les Subject Alt-Name) |