Stations de travail en ligne OnWorks Linux et Windows

Logo

Hébergement gratuit en ligne pour les postes de travail

<Précédent | Table des matières | Suivant>

5.5. Autorité de certification


Si les services de votre réseau nécessitent plus que quelques certificats auto-signés, cela peut valoir la peine de configurer votre propre Autorité de certification (CA). L'utilisation de certificats signés par votre propre CA permet aux différents services utilisant les certificats de faire facilement confiance à d'autres services utilisant des certificats émis par la même CA.


1. Tout d'abord, créez les répertoires pour contenir le certificat CA et les fichiers associés :


sudo mkdir /etc/ssl/CA

sudo mkdir /etc/ssl/newcerts

2. L'AC a besoin de quelques fichiers supplémentaires pour fonctionner, un pour garder une trace du dernier numéro de série utilisé par l'AC, chaque certificat doit avoir un numéro de série unique et un autre fichier pour enregistrer quels certificats ont été émis :


sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt

3. Le troisième fichier est un fichier de configuration CA. Bien qu'il ne soit pas strictement nécessaire, il est très pratique lors de l'émission de plusieurs certificats. Éditer /etc/ssl/openssl.cnfet dans le [ CA_par défaut ] changer:


dir = /etc/ssl # Où tout est conservé database = $dir/CA/index.txt # fichier d'index de la base de données. certificate = $dir/certs/cacert.pem # Le certificat CA

serial = $dir/CA/serial # Le numéro de série actuel private_key = $dir/private/cakey.pem# La clé privée

4. Ensuite, créez le certificat racine auto-signé :


openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650


Il vous sera ensuite demandé de saisir les détails du certificat.

5. Installez maintenant le certificat racine et la clé :


sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/

6. Vous êtes maintenant prêt à commencer à signer des certificats. Le premier élément nécessaire est une demande de signature de certificat (CSR), voir Section 5.2, « Génération d'une demande de signature de certificat (CSR) » [p. 199] pour plus de détails. Une fois que vous avez un CSR, saisissez ce qui suit pour générer un certificat signé par l'autorité de certification :


sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf


Après avoir entré le mot de passe de la clé CA, vous serez invité à signer le certificat, puis à valider le nouveau certificat. Vous devriez alors voir une quantité assez importante de sortie liée à la création du certificat.

7. Il devrait maintenant y avoir un nouveau fichier, /etc/ssl/newcerts/01.pem, contenant la même sortie. Copiez et collez tout en commençant par la ligne : ----- COMMENCER LE CERTIFICAT ----- et continuer à travers la ligne: ---- CERTIFICAT DE FIN----- lignes vers un fichier nommé d'après le nom d'hôte du serveur sur lequel le certificat sera installé. Par exemple mail.exemple.com.crt, est un joli nom descriptif.


Les certificats suivants seront nommés 02.pem, 03.pem, etc.


image

remplacer mail.exemple.com.crt avec votre propre nom descriptif.


8. Enfin, copiez le nouveau certificat sur l'hôte qui en a besoin et configurez les applications appropriées pour l'utiliser. L'emplacement par défaut pour installer les certificats est /etc/ssl/certs. Cela permet à plusieurs services d'utiliser le même certificat sans autorisations de fichiers trop compliquées.


Pour les applications qui peuvent être configurées pour utiliser un certificat CA, vous devez également copier le /etc/ssl/certs/cacert.pem fichier au /etc/ssl/certs/ répertoire sur chaque serveur.


  

 

<Précédent | Table des matières | Suivant>

  

Meilleur système d'exploitation Cloud Computing chez OnWorks :