Ceci est le guide définitif pour créer des certificats sécurisés, pour les serveurs et les clients, en utilisant OpenSSL.
Sous Windows, il est recommandé d'utiliser Chocolatey pour installer OpenSSL et ses dépendances. La ligne de commande est tout simplement `choco install openssl`.
- Créer l'Autorité de Certification Racine (AC)
- Générer une demande de signature de certificat (CSR) – Serveur
- Générer une demande de signature de certificat (CSR) – Client
- Traiter une demande de signature de certificat (CSR) sur l'autorité de certification racine (CA)
- Générer la clé privée de l'AC racine en utilisant la ligne de commande suivante :
openssl ecparam -name prime256v1 -genkey -noout -out ca.key
. Chaque certificat doit avoir une clé privée correspondante. - Générer le Certificat Racine CA (Autorité de Certification) en utilisant la ligne de commande suivante :
openssl req -new -x509 -sha256 -key ca.key -out ca.crt
. - Entrer les informations sur l'AC (le certificat sera généré dans le fichier ca.crt):
Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:Toontown Organization Name (eg, company) [Internet Widgits Pty Ltd]:Acme inc. Organizational Unit Name (eg, section) []:Security Common Name (e.g. server FQDN or your name) []:acme.com Email Address []:security@acme.com
- Installer le certificat.
Notez que le certificat doit être installé sur le serveur et sur tous les clients pour valider la légitimité des certificats émis. Certains navigateurs ont également des particularités décrites dans la rubrique.
Ces étapes sont généralement effectuées sur chaque serveur ou appareil pour lequel vous souhaitez demander un certificat. Installer OpenSSL s'il n'est pas présent. L'alternative est de déployer en toute sécurité la clé privée sur le serveur de destination en même temps que le certificat. Il est recommandé d'utiliser cette dernière approche uniquement si vous devez adhérer aux déploiements scriptés pour suivre les pratiques CloudOps/DevOps.
- Générer la Clé Privée du Certificat Serveur en utilisant la ligne de commande suivante :
openssl ecparam -name prime256v1 -genkey -noout -out server.key
(clé privée de 256 bits dans le fichier server.key). Chaque certificat doit avoir une clé privée correspondante. - Générer la Demande de Signature de Certificat (CSR) du serveur en utilisant la ligne de commande suivante :
openssl req -new -sha256 -key server.key -out server.csr
. Cette demande sera ensuite traitée sur le serveur Racine CA. - Entrer les informations sur le certificat serveur (le FQDN exact utilisé par le serveur doit être spécifié). Par exemple:
Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:Toontown Organization Name (eg, company) [Internet Widgits Pty Ltd]:Acme inc. Organizational Unit Name (eg, section) []:Security Common Name (e.g. server FQDN or your name) []:vault.acme.com Email Address []:security@acme.com
- Entrer un mot de passe dans l'invite, utiliser un gestionnaire de mots de passe ainsi qu'un générateur de mots de passe fort est essentiel.
- Transférer le fichier server.csr à l'AC racine.
- Traiter la demande en suivant les instructions ci-dessous.
- Déployer le certificat.
Suivre la même procédure que pour le certificat serveur, mais il faut adapter deux attributs des informations que vous saisissez à vos besoins, à savoir le Nom commun et l'Adresse email.
Common Name (e.g. server FQDN or your name) []:John Doe
Email Address []:JohnDoe@acme.com
Traiter le CSR en générant un certificat.
Générer-le en utilisant la ligne de commande suivante, où le server.csr a été généré sur le serveur:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 1000 -sha256
Cela résulte en la génération du certificat dans le fichier server.crt. Il faut le déployer sur le serveur où vous avez généré le CSR.