securite:openssl:toc
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
securite:openssl:toc [2017/09/22 15:27] – [Générer le CSR] sgariepy | securite:openssl:toc [2022/02/02 00:42] (Version actuelle) – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 16: | Ligne 16: | ||
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 | $ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 | ||
+ | ===== Pour localhost sur Mac ===== | ||
+ | cd; mkdir .ssl | ||
+ | | ||
+ | openssl req -newkey rsa:2048 -x509 -nodes -keyout .ssl/ | ||
+ | | ||
+ | sudo security add-trusted-cert -d -r trustRoot -k / | ||
+ | |||
+ | Installer et démarrer un serveur: | ||
+ | |||
+ | npm install http-server -g | ||
+ | |||
+ | http-server --ssl --cert ~/ | ||
+ | |||
+ | |||
+ | Source : [[https:// | ||
====== Enlever un passphrase d'une clé ====== | ====== Enlever un passphrase d'une clé ====== | ||
Ligne 48: | Ligne 63: | ||
Remplacer l' | Remplacer l' | ||
- | $ sudo sudo ln -sf / | + | $ sudo ln -sf / |
- | [[https:// | + | Source : [[https:// |
Ligne 59: | Ligne 74: | ||
====== Générer un CSR ====== | ====== Générer un CSR ====== | ||
- | Ces instructions sont pour générer un CSR pour un certificat SSL // | + | Ces instructions sont pour générer un CSR pour un certificat SSL // |
- | ===== Générer le key pair ===== | + | |
+ | |||
+ | Il faut d' | ||
openssl genrsa –des3 –out mydomain.com.key 2048 | openssl genrsa –des3 –out mydomain.com.key 2048 | ||
- | ===== Générer le fichier CSR ===== | ||
- | Dans Common name, il faut mettre une étoile ('' | + | |
+ | Ensuite, il faut générer le fichier CSR. | ||
openssl req –new –key mydomain.com.key –out mydomain.com.csr | openssl req –new –key mydomain.com.key –out mydomain.com.csr | ||
+ | ====== Voir le randomart du host ====== | ||
+ | Sur le client, faire: | ||
+ | $ nano ~/ | ||
+ | Entrer la ligne suivante: | ||
+ | VisualHostKey=yes | ||
+ | On peut aussi utiliser l' | ||
+ | $ ssh user@host -o VisualHostKey=yes | ||
+ | ====== Mettre à jour les certificats d' | ||
+ | Si les certificats d' | ||
+ | * ''/ | ||
+ | * ''/ | ||
+ | on peut les installer en faisant: | ||
+ | $ update-ca-certificates | ||
+ | | ||
+ | Si la commande n'est pas disponible, installer le package '' | ||
+ | |||
+ | $ sudo apt-get install ca-certificates | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ====== Créer un certificat signé par un CA ====== | ||
+ | |||
+ | Cette opération a été utilisée avec [[securite: | ||
+ | |||
+ | Générer le certificat racine: | ||
+ | |||
+ | |||
+ | $ openssl req -newkey rsa:2048 -days 3650 -x509 -nodes -out root.crt | ||
+ | |||
+ | Générer la requête de certificat (CSR) et la clé privée: | ||
+ | |||
+ | $ openssl req -newkey rsa:2048 -nodes -out vault.csr -keyout vault.key | ||
+ | |||
+ | |||
+ | Créer des fichiers qui seront utilisés pour la génération du certificat: | ||
+ | |||
+ | |||
+ | $ echo 000a > serialfile | ||
+ | $ touch certindex | ||
+ | |||
+ | |||
+ | Créer un fichier '' | ||
+ | |||
+ | < | ||
+ | [ ca ] | ||
+ | default_ca = myca | ||
+ | |||
+ | [ myca ] | ||
+ | new_certs_dir = /tmp | ||
+ | unique_subject = no | ||
+ | certificate = / | ||
+ | database = / | ||
+ | private_key = / | ||
+ | serial = / | ||
+ | default_days = 365 | ||
+ | default_md = sha256 | ||
+ | policy = myca_policy | ||
+ | x509_extensions = myca_extensions | ||
+ | copy_extensions = copy | ||
+ | |||
+ | [ myca_policy ] | ||
+ | commonName = supplied | ||
+ | stateOrProvinceName = supplied | ||
+ | countryName = supplied | ||
+ | emailAddress = optional | ||
+ | organizationName = supplied | ||
+ | organizationalUnitName = optional | ||
+ | |||
+ | [ myca_extensions ] | ||
+ | basicConstraints = CA:false | ||
+ | subjectKeyIdentifier = hash | ||
+ | authorityKeyIdentifier = keyid: | ||
+ | subjectAltName = IP: | ||
+ | keyUsage = digitalSignature, | ||
+ | extendedKeyUsage = serverAuth | ||
+ | </ | ||
+ | |||
+ | Générer le certificat : | ||
+ | |||
+ | $ openssl ca -batch -config vault-ca.conf -notext -in vault.csr -out vault.crt | ||
+ | |||
+ | |||
+ | Copier le certificat racine '' | ||
+ | |||
+ | $ sudo update-ca-certificates | ||
+ | | ||
securite/openssl/toc.1506086829.txt.gz · Dernière modification : 2022/02/02 00:43 (modification externe)