Wiki SGY.io

Outils pour utilisateurs

Outils du site

Piste :
securite:openssl:toc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
securite:openssl:toc [2017/09/22 13:35] – [Mettre à jour OpenSSL sur Ubuntu] sgariepysecurite:openssl:toc [2022/02/02 00:42] (Version actuelle) – modification externe 127.0.0.1
Ligne 16: Ligne 16:
   $ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365   $ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
  
 +===== Pour localhost sur Mac =====
  
 +  cd; mkdir .ssl
 +  
 +  openssl req -newkey rsa:2048 -x509 -nodes -keyout .ssl/localhost.key -new -out .ssl/localhost.crt -subj /CN=localhost -reqexts SAN -extensions SAN -config <(cat /System/Library/OpenSSL/openssl.cnf <(printf '[SAN]\nsubjectAltName=DNS:localhost')) -sha256 -days 3650
 +  
 +  sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain .ssl/localhost.crt
 +
 +Installer et démarrer un serveur:
 +
 +  npm install http-server -g
 +
 +  http-server --ssl --cert ~/.ssl/localhost.crt --key ~/.ssl/localhost.key -a localhost -o
 +
 +
 +Source : [[https://paulbrowne.xyz/https-localhost|https://localhost]]
 ====== Enlever un passphrase d'une clé ====== ====== Enlever un passphrase d'une clé ======
  
Ligne 48: Ligne 63:
 Remplacer l'ancien exécutable d'OpenSSL par le nouveau avec un lien symbolique: Remplacer l'ancien exécutable d'OpenSSL par le nouveau avec un lien symbolique:
  
-  $ sudo sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`+  $ sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`
  
-[[https://superuser.com/questions/740930/apt-get-upgrade-openssl-wont-bring-ubuntu-12-04-to-latest-version|]]+Source : [[https://superuser.com/questions/740930/apt-get-upgrade-openssl-wont-bring-ubuntu-12-04-to-latest-version|apt-get upgrade openssl won't bring Ubuntu 12.04 to latest version]]
  
  
Ligne 57: Ligne 72:
  
  
 +====== Générer un CSR ======
  
 +Ces instructions sont pour générer un CSR pour un certificat SSL //wildcard//, par exemple ''*.mydomain.com''.
  
  
  
 +Il faut d'abord générer une clé ''.key'' (ou ''.pem'') :
  
  
 +  openssl genrsa –des3 –out mydomain.com.key 2048
  
  
  
 +Ensuite, il faut générer le fichier CSR.  Dans **Common name**, il faut mettre une étoile (''*'') pour le sous-domaine du domaine, exemple ''*.mydomain.com''.
  
 +  openssl req –new –key mydomain.com.key –out mydomain.com.csr
 +
 +
 +====== Voir le randomart du host ======
 +
 +Sur le client, faire:
 +  $ nano ~/.ssh/config
 +
 +Entrer la ligne suivante:
 +  VisualHostKey=yes
 +
 +
 +On peut aussi utiliser l'option dans ''ssh'' :
 +  $ ssh user@host -o VisualHostKey=yes
 +
 +====== Mettre à jour les certificats d'autorité sur Ubuntu 14.04 ======
 +
 +Si les certificats d'autorité (CA) ne sont pas disponibles sur le système, dans ces endroits:
 +  * ''/etc/ssl/certs''
 +  * ''/usr/share/ca-certificates/mozilla''
 +
 +on peut les installer en faisant:
 +
 +  $ update-ca-certificates
 +  
 +Si la commande n'est pas disponible, installer le package ''ca-certificates'':
 +
 +  $ sudo apt-get install ca-certificates
 +
 +
 +
 +
 +
 +====== Créer un certificat signé par un CA ======
 +
 +Cette opération a été utilisée avec [[securite:vault|Vault]].
 +
 +Générer le certificat racine:
 +
 +
 +  $ openssl req -newkey rsa:2048 -days 3650 -x509 -nodes -out root.crt
 +
 +Générer la requête de certificat (CSR) et la clé privée:
 +
 +  $ openssl req -newkey rsa:2048 -nodes -out vault.csr -keyout vault.key 
 +
 +
 +Créer des fichiers qui seront utilisés pour la génération du certificat:
 +
 +
 +  $ echo 000a > serialfile
 +  $ touch certindex
 +
 +
 +Créer un fichier ''vault-ca.conf'' avec le code suivant et en adaptant les chemins pour les fichiers ''root.crt'', ''certindex'', ''privkey.key'' et ''serialfile''.
 +
 +<code>
 +[ ca ]
 +default_ca = myca
 +
 +[ myca ]
 +new_certs_dir = /tmp
 +unique_subject = no
 +certificate = /path/to/root.crt
 +database = /path/to/certindex
 +private_key = /path/to/privkey.key
 +serial = /path/to/serialfile
 +default_days = 365
 +default_md = sha256
 +policy = myca_policy
 +x509_extensions = myca_extensions
 +copy_extensions = copy
 +
 +[ myca_policy ]
 +commonName = supplied
 +stateOrProvinceName = supplied
 +countryName = supplied
 +emailAddress = optional
 +organizationName = supplied
 +organizationalUnitName = optional
 +
 +[ myca_extensions ]
 +basicConstraints = CA:false
 +subjectKeyIdentifier = hash
 +authorityKeyIdentifier = keyid:always
 +subjectAltName = IP:127.0.0.1
 +keyUsage = digitalSignature,keyEncipherment
 +extendedKeyUsage = serverAuth
 +</code>
 +
 +Générer le certificat : 
 +
 +  $ openssl ca -batch -config vault-ca.conf -notext -in vault.csr -out vault.crt
 +
 +
 +Copier le certificat racine ''root.crt'' dans le répertoire ''/usr/local/share/ca-certificates'' et faire une mise à jour des CA:
 +
 +  $ sudo update-ca-certificates
 +  
  
securite/openssl/toc.1506080107.txt.gz · Dernière modification : 2022/02/02 00:43 (modification externe)