Ceci est une ancienne révision du document !
Table des matières
OpenSSL
OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques et une interface en ligne de commande1).
Générer un certificat auto-signé
Ce genre de certificat doit être seulement utilisé pour le développement ou pour des tests, jamais pour des environnements de production.
Voir si OpenSSL est installé:
$ which openssl /usr/bin/openssl
Créer le certificat:
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
Enlever un passphrase d'une clé
$ openssl rsa -in key.pem -out newkey.pem && mv newkey.pem key.pem
Générer un fichier PFX
Si on suppose avoir créé un certificat auto-signé, comme ci-haut, on peut générer un fichier PFX avec cette commande :
$ openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in cert.pem
Mettre à jour OpenSSL sur Ubuntu
OpenSSL est peut-être à une vieille version sur Ubuntu (1.0.1f sur 14.04 et 1.0.2g sur 16.04). La méthode apt-get upgrade openssl
ne fonctionne pas, on aura 0 paquet de mis à jour.
Sur le site https://openssl.org voir quel paquetage tar
est présent. Au moment d'écrire ces lignes il s'agissait de https://www.openssl.org/source/openssl-1.0.2l.tar.gz
. Modifier l'URL en conséquence selon la version courante d'OpenSSL.
$ curl https://www.openssl.org/source/openssl-1.0.2l.tar.gz | tar xz $ cd openssl-1.0.2l $ sudo ./config $ sudo make $ sudo make install
Remplacer l'ancien exécutable d'OpenSSL par le nouveau avec un lien symbolique:
$ sudo sudo ln -sf /usr/local/ssl/bin/openssl `which openssl`
Installer les certificats SSL
Ces instructions sont pour créer et installer des certificats SSL wildcard.
Générer le key pair
openssl genrsa –des3 –out mydomain.com.key 2048
Générer le CSR
Dans Common name, il faut mettre une étoile (*
) pour le sous-domaine du domaine, exemple *.mydomain.com
.
openssl req –new –key mydomain.com.key –out mydomain.com.csr