Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:howto:certif_autosigne [07/03/2008 17:57] – remplacement par des variables daniel
+++ linux:howto:certif_autosigne [10/03/2008 10:03] (Version actuelle) – Ajout pem daniel
@@ Ligne 3: / Ligne 3: @@
 D'après http://www.linux-france.org/prj/edu/archinet/systeme/x4005.html
-On considère que le nom du host est
+On distingue le nom du host, qui va servir pour sa propre autorité de certification, et le servername, qui sera le nom de domaine qui va utiliser le certificat (directive ServerName d'apache, ou host utiliser pour les mails en TLS, etc.)
-<code>
+<code bash>
 host=myhost.example.com
 servername=myserver.example.com
 </code>
+On crée sa propre autorité de certification
-  * génération de la clé privée
+<code bash>
-<code>
+# génération de la clé privée pour l'autorité de certification (soi-même en l'occurence) (avec passphrase)
-openssl genrsa 1024 > /etc/ssl/private/$host.key
+openssl genrsa -des3 1024 > /etc/ssl/private/myca.$host.key
-</code>
-  * création du fichier de demande de signature de certificat (CSR Certificate Signing Request)
+# génération du certificat de l'autorité de certification (pour 10 ans histoire de pas recommencer tous les jours)
-<code>
+# On répondra $host à la question "Common Name"
-#Attention à mettre la valeur de $servername (le ServerName apache ou le host smtp)
+openssl req -new -x509 -days 3650 -key /etc/ssl/private/myca.$host.key > /etc/ssl/certs/myca.$host.crt
-# à la question "Common Name (eg, YOUR name)"
-# Ce sera le CN (Common Name) du certificat
-openssl req -new -key /etc/ssl/private/$host.key > /etc/ssl/certs/$servername.csr
 </code>
-Il faut maintenant se créer sa propre autorité de certification
+On a maintenant clé et certif de son autorité de certification, on passe aux certificats qui seront utilisés par apache, postfix, dovecot & co (pour créer plusieurs certifs, ne reprendre que la partie qui suit en changeant $servername)
-  * génération de la clé privée pour l'autorité de certification (soi-même en l'occurence) (avec passphrase)
+<code bash>
+# génération de la clé privée
+openssl genrsa 1024 > /etc/ssl/private/$host.key
-<code>
+# création du fichier de demande de signature de certificat (CSR Certificate Signing Request)
-openssl genrsa -des3 1024 > /etc/ssl/private/myca.$host.key
+# On répondra $servername à la question "Common Name (eg, YOUR name)"
-</code>
+# Ce sera le CN (Common Name) du certificat
+openssl req -new -key /etc/ssl/private/$host.key > /etc/ssl/certs/$servername.csr
-  * génération du certificat de l'autorité de certification (pour 10 ans histoire de pas recommancer tous les jours
+# reste à signer son certificat (valide 1 an)
+openssl x509 -days 365 -req -in /etc/ssl/certs/$servername.csr -out /etc/ssl/certs/$servername.crt -CA /etc/ssl/certs/myca.$host.crt -CAkey /etc/ssl/private/myca.$host.key -CAcreateserial -CAserial ca.srl
-<code>
-# ne pas remettre le même host que précédemment
-# Ce sera le champ O du certificat (Organisation)
-openssl req -new -x509 -days 3650 -key /etc/ssl/private/myca.$host.key > /etc/ssl/certs/myca.$host.crt
-</code>
-Et signer son certificat
-<code>
-openssl x509 -req -in /etc/ssl/certs/$servername.csr -out /etc/ssl/certs/$servername.crt -CA /etc/ssl/certs/myca.$host.crt -CAkey /etc/ssl/private/myca.$host.key -CAcreateserial -CAserial ca.srl
 </code>
@@ Ligne 49: / Ligne 41: @@
 SSLCertificateFile /etc/ssl/certs/myserver.example.com.crt
 SSLCertificateKeyFile /etc/ssl/private/myserver.example.com.key
+</code>
+Si on a besoin d'un fichier pem, qui combine clé et certif (pour courier-ssl par exemple)
+<code bash>
+# on mixe clé et certif
+cat /etc/ssl/private/$host.key /etc/ssl/certs/$servername.crt > /etc/ssl/certs/$servername.pem
+# et on ajoute
+openssl gendh >> /etc/ssl/certs/$servername.pem
 </code>