Wiki SGY.io

Outils pour utilisateurs

Outils du site

Piste :
securite:openssl:toc

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
securite:openssl:toc [2017/11/07 17:08] – [Générer un certificat auto-signé] sgariepysecurite:openssl:toc [2022/02/02 00:42] (Version actuelle) – modification externe 127.0.0.1
Ligne 19: Ligne 19:
  
   cd; mkdir .ssl   cd; mkdir .ssl
 +  
   openssl req -newkey rsa:2048 -x509 -nodes -keyout .ssl/localhost.key -new -out .ssl/localhost.crt -subj /CN=localhost -reqexts SAN -extensions SAN -config <(cat /System/Library/OpenSSL/openssl.cnf <(printf '[SAN]\nsubjectAltName=DNS:localhost')) -sha256 -days 3650   openssl req -newkey rsa:2048 -x509 -nodes -keyout .ssl/localhost.key -new -out .ssl/localhost.crt -subj /CN=localhost -reqexts SAN -extensions SAN -config <(cat /System/Library/OpenSSL/openssl.cnf <(printf '[SAN]\nsubjectAltName=DNS:localhost')) -sha256 -days 3650
 +  
   sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain .ssl/localhost.crt   sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain .ssl/localhost.crt
-       
  
 +Installer et démarrer un serveur:
 +
 +  npm install http-server -g
 +
 +  http-server --ssl --cert ~/.ssl/localhost.crt --key ~/.ssl/localhost.key -a localhost -o
 +
 +
 +Source : [[https://paulbrowne.xyz/https-localhost|https://localhost]]
 ====== Enlever un passphrase d'une clé ====== ====== Enlever un passphrase d'une clé ======
  
Ligne 111: Ligne 120:
  
  
 +====== Créer un certificat signé par un CA ======
 +
 +Cette opération a été utilisée avec [[securite:vault|Vault]].
 +
 +Générer le certificat racine:
 +
 +
 +  $ openssl req -newkey rsa:2048 -days 3650 -x509 -nodes -out root.crt
 +
 +Générer la requête de certificat (CSR) et la clé privée:
 +
 +  $ openssl req -newkey rsa:2048 -nodes -out vault.csr -keyout vault.key 
 +
 +
 +Créer des fichiers qui seront utilisés pour la génération du certificat:
 +
 +
 +  $ echo 000a > serialfile
 +  $ touch certindex
 +
 +
 +Créer un fichier ''vault-ca.conf'' avec le code suivant et en adaptant les chemins pour les fichiers ''root.crt'', ''certindex'', ''privkey.key'' et ''serialfile''.
 +
 +<code>
 +[ ca ]
 +default_ca = myca
 +
 +[ myca ]
 +new_certs_dir = /tmp
 +unique_subject = no
 +certificate = /path/to/root.crt
 +database = /path/to/certindex
 +private_key = /path/to/privkey.key
 +serial = /path/to/serialfile
 +default_days = 365
 +default_md = sha256
 +policy = myca_policy
 +x509_extensions = myca_extensions
 +copy_extensions = copy
 +
 +[ myca_policy ]
 +commonName = supplied
 +stateOrProvinceName = supplied
 +countryName = supplied
 +emailAddress = optional
 +organizationName = supplied
 +organizationalUnitName = optional
 +
 +[ myca_extensions ]
 +basicConstraints = CA:false
 +subjectKeyIdentifier = hash
 +authorityKeyIdentifier = keyid:always
 +subjectAltName = IP:127.0.0.1
 +keyUsage = digitalSignature,keyEncipherment
 +extendedKeyUsage = serverAuth
 +</code>
 +
 +Générer le certificat : 
 +
 +  $ openssl ca -batch -config vault-ca.conf -notext -in vault.csr -out vault.crt
 +
 +
 +Copier le certificat racine ''root.crt'' dans le répertoire ''/usr/local/share/ca-certificates'' et faire une mise à jour des CA:
 +
 +  $ sudo update-ca-certificates
 +  
  
securite/openssl/toc.1510070880.txt.gz · Dernière modification : 2022/02/02 00:43 (modification externe)