Générer un certificat serveur et client auto-signé avec OpenSSL

Sur cette page

Ceci est le guide définitif pour créer des certificats sécurisés, pour les serveurs et les clients, en utilisant OpenSSL.

Procédure

Sur Windows, il est recommandé d'utiliser Chocolatey pour installer OpenSSL et ses dépendances. La ligne de commande est simplement `choco install openssl`.

Autorité de certification racine (AC)

  1. Générer la clé privée de l'AC racine en utilisant la ligne de commande suivante :openssl ecparam -name prime256v1 -genkey -noout -out ca.key. Chaque certificat doit avoir une clé privée correspondante.
  2. Générer le Certificat AC Racine (Autorité de Certification) en utilisant la ligne de commande suivante : openssl req -new -x509 -sha256 -key ca.key -out ca.crt.
  3. Entrer les informations sur l'autorité (le certificat sera généré dans le fichier ca.crt) :
    Nom du pays (code à deux lettres) [AU]:US
État ou Province (nom complet) [Some-State]:CA
Localité (ex., ville) []:Toontown
Nom de l'organisation (ex., société) [Internet Widgits Pty Ltd]:Acme inc.
Nom de l'unité organisationnelle (ex., section) []:Sécurité
Nom commun (ex., FQDN ou votre nom) []:acme.com
Adresse électronique []:security@acme.com
  4. Installer le certificat.

Notez que le certificat doit être installé sur le serveur et sur tous les clients pour valider la légitimité des certificats émis. Certains navigateurs ont également des particularités qui sont décrites dans la rubrique.

Certificat de serveur

Ces étapes sont généralement effectuées sur chaque serveur ou appareil pour lequel vous voulez demander un certificat. Installer OpenSSL s'il n'est pas présent. L'alternative est de déployer de manière sécurisée la clé privée vers le serveur de destination en même temps que le certificat. Il est recommandé d'utiliser cette dernière approche uniquement si vous devez adhérer à des déploiements scriptés pour suivre les pratiques CloudOps/DevOps.

  1. Générer la Clé Privée du Certificat Serveur en utilisant la ligne de commande suivante : openssl ecparam -name prime256v1 -genkey -noout -out server.key (clé privée 256 bits dans le fichier server.key). Chaque certificat doit avoir une clé privée correspondante.
  2. Générer le Certificate Signing Request (CSR) du serveur en utilisant la ligne de commande suivante : openssl req -new -sha256 -key server.key -out server.csr. Cette requête sera ensuite traitée sur le serveur AC racine.
  3. Entrer les informations sur le certificat serveur (le FQDN exact utilisé par le serveur doit être spécifié). Par exemple :
    Nom du pays (code à deux lettres) [AU]:US
État ou Province (nom complet) [Some-State]:CA
Localité (ex., ville) []:Toontown
Nom de l'organisation (ex., société) [Internet Widgits Pty Ltd]:Acme inc.
Nom de l'unité organisationnelle (ex., section) []:Sécurité
Nom commun (ex., FQDN ou votre nom) []:vault.acme.com
Adresse électronique []:security@acme.com
  4. Saisir un mot de passe dans l'invite, en utilisant un gestionnaire de mots de passe et un générateur de mots de passe fort est essentiel.
  5. Transférer le fichier server.csr à l'autorité de certification racine.
  6. Traiter la demande en suivant les instructions ci-dessous.
  7. Déployer le certificat.

Certificat client

Suivre la même procédure que pour le certificat serveur, mais vous devez adapter deux attributs de l'information que vous entrez à vos besoins, à savoir le Nom commun et l’Adresse électronique.

Common Name (e.g. server FQDN or your name) []:John Doe
Email Address []:JohnDoe@acme.com

Traiter une demande de signature de certificat (CSR) sur l'autorité de certification racine (AC)

Traiter la CSR en générant un certificat.

Générer en utilisant la ligne de commande suivante, où le server.csr a été généré sur le serveur: openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 1000 -sha256

Cela permet de générer le certificat dans le fichier server.crt. Vous devez le déployer sur le serveur où vous avez généré la CSR.

Devolutions Forum logo Donnez-nous vos commentaires