Différences

Ci-dessous, les différences entre deux révisions de la page.

--- securite:openssl:toc [2017/11/07 17:10] – [Pour localhost sur Mac] sgariepy
+++ securite:openssl:toc [2022/02/02 00:42] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 120: / Ligne 120: @@
+====== Créer un certificat signé par un CA ======
+Cette opération a été utilisée avec [[securite:vault|Vault]].
+Générer le certificat racine:
+  $ openssl req -newkey rsa:2048 -days 3650 -x509 -nodes -out root.crt
+Générer la requête de certificat (CSR) et la clé privée:
+  $ openssl req -newkey rsa:2048 -nodes -out vault.csr -keyout vault.key
+Créer des fichiers qui seront utilisés pour la génération du certificat:
+  $ echo 000a > serialfile
+  $ touch certindex
+Créer un fichier ''vault-ca.conf'' avec le code suivant et en adaptant les chemins pour les fichiers ''root.crt'', ''certindex'', ''privkey.key'' et ''serialfile''.
+<code>
+[ ca ]
+default_ca = myca
+[ myca ]
+new_certs_dir = /tmp
+unique_subject = no
+certificate = /path/to/root.crt
+database = /path/to/certindex
+private_key = /path/to/privkey.key
+serial = /path/to/serialfile
+default_days = 365
+default_md = sha256
+policy = myca_policy
+x509_extensions = myca_extensions
+copy_extensions = copy
+[ myca_policy ]
+commonName = supplied
+stateOrProvinceName = supplied
+countryName = supplied
+emailAddress = optional
+organizationName = supplied
+organizationalUnitName = optional
+[ myca_extensions ]
+basicConstraints = CA:false
+subjectKeyIdentifier = hash
+authorityKeyIdentifier = keyid:always
+subjectAltName = IP:127.0.0.1
+keyUsage = digitalSignature,keyEncipherment
+extendedKeyUsage = serverAuth
+</code>
+Générer le certificat :
+  $ openssl ca -batch -config vault-ca.conf -notext -in vault.csr -out vault.crt
+Copier le certificat racine ''root.crt'' dans le répertoire ''/usr/local/share/ca-certificates'' et faire une mise à jour des CA:
+  $ sudo update-ca-certificates