« Certificats Serveur https » : différence entre les versions

A partir de la CA crée dans la page Créer une PKI familiale, on va créer un certificat dit serveur.

C'est le genre de certificat que l'on déposera sur un serveur web ou autre.

Selon la page sur les certificats x509 on doit donc créer :

• Sur le serveur cible
  • La clé privée du serveur
  • Un demande signature du certificat (CSR) à envoyer à la PKI
• Sur la PKI
  • La PKI va signer ce CSR en utilisant sa CA et générer le certificat
  • Renvoyer au serveur le certificat généré (CER)
• Sur le serveur cible
  • On installera le certificat (Apache ou autre)

Les étapes une par une

Générer le clé

openssl genrsa -out secure.key 2048

On la vérifie:

openssl rsa -in secure.key -check

La clé doit s'afficher à l'écran (en base 64)

Génération du CSR

On va demander à la PKI de générer un certificat à partir de cette clé.

openssl req -out secure-broker.csr -key secure.key -new

On réponds aux questions habituelles.

On envoie le fichier CSR ainsi crée à la PKI.

Signature

Côté PKI on crée le certificat.

openssl x509 -req -in servers/secure.csr -CA CA.crt -CAkey rootca.key -CAcreateserial -out servers/secure-broker.crt -days 365

On crée le certificat valable 1 an.

On le renvoie au serveur qui l'installera. On devra aussi diffuser le certificat de la PKI rootca.crt au serveur et au client impliqué dans cette transaction.