Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:howto:certif_autosigne [01/03/2008 19:28] – rmqs daniel
+++ linux:howto:certif_autosigne [10/03/2008 10:03] (Version actuelle) – Ajout pem daniel
@@ Ligne 3: / Ligne 3: @@
 D'après http://www.linux-france.org/prj/edu/archinet/systeme/x4005.html
-On considère que le nom du host est myhost.example.com
+On distingue le nom du host, qui va servir pour sa propre autorité de certification, et le servername, qui sera le nom de domaine qui va utiliser le certificat (directive ServerName d'apache, ou host utiliser pour les mails en TLS, etc.)
-  * génération de la clé privée
+<code bash>
-<code>
+host=myhost.example.com
-openssl genrsa 1024 > /etc/ssl/private/myhost.example.com.key
+servername=myserver.example.com
 </code>
-  * création du fichier de demande de signature de certificat (CSR Certificate Signing Request)
+On crée sa propre autorité de certification
-<code>
-#Attention à mettre le nom du host qui utilisera le ssl (le ServerName apache ou le host smtp)
-# à la question "Common Name (eg, YOUR name)"
-# Ce sera le CN (Common Name) du certificat
-openssl req -new -key /etc/ssl/private/myhost.example.com.key > /etc/ssl/certs/myhost.example.com.csr
-</code>
-Il faut maintenant se créer sa propre autorité de certification
+<code bash>
+# génération de la clé privée pour l'autorité de certification (soi-même en l'occurence) (avec passphrase)
+openssl genrsa -des3 1024 > /etc/ssl/private/myca.$host.key
-  * génération de la clé privée pour l'autorité de certification (soi-même en l'occurence) (avec passphrase)
+# génération du certificat de l'autorité de certification (pour 10 ans histoire de pas recommencer tous les jours)
+# On répondra $host à la question "Common Name"
-<code>
+openssl req -new -x509 -days 3650 -key /etc/ssl/private/myca.$host.key > /etc/ssl/certs/myca.$host.crt
-openssl genrsa -des3 1024 > /etc/ssl/private/myca.key
 </code>
-  * génération du certificat de l'autorité de certification (pour 10 ans histoire de pas recommancer tous les jours
+On a maintenant clé et certif de son autorité de certification, on passe aux certificats qui seront utilisés par apache, postfix, dovecot & co (pour créer plusieurs certifs, ne reprendre que la partie qui suit en changeant $servername)
-<code>
+<code bash>
-# ne pas remettre le même host que précédemment
+# génération de la clé privée
-# Ce sera le champ O du certificat (Organisation)
+openssl genrsa 1024 > /etc/ssl/private/$host.key
-openssl req -new -x509 -days 3650 -key /etc/ssl/private/myca.key > /etc/ssl/certs/myca.crt
-</code>
-Et signer son certificat
+# création du fichier de demande de signature de certificat (CSR Certificate Signing Request)
-<code>
+# On répondra $servername à la question "Common Name (eg, YOUR name)"
-openssl x509 -req -in /etc/ssl/certs/myhost.example.com.csr -out /etc/ssl/certs/myhost.example.com.crt -CA /etc/ssl/certs/myca.crt -CAkey /etc/ssl/private/myca.key -CAcreateserial -CAserial ca.srl
+# Ce sera le CN (Common Name) du certificat
+openssl req -new -key /etc/ssl/private/$host.key > /etc/ssl/certs/$servername.csr
+# reste à signer son certificat (valide 1 an)
+openssl x509 -days 365 -req -in /etc/ssl/certs/$servername.csr -out /etc/ssl/certs/$servername.crt -CA /etc/ssl/certs/myca.$host.crt -CAkey /etc/ssl/private/myca.$host.key -CAcreateserial -CAserial ca.srl
 </code>
@@ Ligne 42: / Ligne 39: @@
 <code>
-SSLCertificateFile /etc/ssl/certs/myhost.example.com.crt
+SSLCertificateFile /etc/ssl/certs/myserver.example.com.crt
-SSLCertificateKeyFile /etc/ssl/private/myhost.example.com.key
+SSLCertificateKeyFile /etc/ssl/private/myserver.example.com.key
+</code>
+Si on a besoin d'un fichier pem, qui combine clé et certif (pour courier-ssl par exemple)
+<code bash>
+# on mixe clé et certif
+cat /etc/ssl/private/$host.key /etc/ssl/certs/$servername.crt > /etc/ssl/certs/$servername.pem
+# et on ajoute
+openssl gendh >> /etc/ssl/certs/$servername.pem
 </code>