Certificats Serveur https
Aller à la navigation
Aller à la recherche
A partir de la CA crée dans la page Créer une PKI familiale, on va créer un certificat dit serveur.
C'est le genre de certificat que l'on déposera sur un serveur web ou autre.
Selon la page sur les certificats x509 on doit donc créer :
- Sur le serveur cible
- La clé privée du serveur
- Un demande signature du certificat (CSR) à envoyer à la PKI
- Sur la PKI
- La PKI va signer ce CSR en utilisant sa CA et générer le certificat
- Renvoyer au serveur le certificat généré (CER)
- Sur le serveur cible
- On installera le certificat (Apache ou autre)
Les étapes une par une
Générer le clé
openssl genrsa -out secure.key 2048
On la vérifie:
openssl rsa -in secure.key -check
La clé doit s'afficher à l'écran (en base 64)
Génération du CSR
On va demander à la PKI de générer un certificat à partir de cette clé.
openssl req -out secure-broker.csr -key secure-broker.key -new
On réponds aux questions habituelles.
On envoie le fichier CSR ainsi crée à la PKI.
Signature
Côté PKI on crée le certificat.
openssl x509 -req -in servers/secure.csr -CA CA.crt -CAkey rootca.key -CAcreateserial -out servers/secure-broker.crt -days 365
On crée le certificat valable 1 an.
On le renvoie au serveur qui l'installera. On devra aussi diffuser le certificat de la PKI rootca.crt au serveur et au client impliqué dans cette transaction.