Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
doc:reseau:apache2:tp01 [01/10/2015 12:11] milou [Sécuriser son site web] |
doc:reseau:apache2:tp01 [01/10/2015 12:17] milou [OpenSSL : créer un certificat avec apache2] |
||
---|---|---|---|
Ligne 848: | Ligne 848: | ||
1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | 1) **Création de la clé privée** : par exemple ''openssl genrsa 1024 > /etc/apache2/ssl/apache.key'' | ||
- | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer : ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | + | 2) **À partir de cette clé privée, on crée un certificat CSR qui contient une clé publique** à faire signer :\\ |
+ | |||
+ | ''openssl req -new -key /etc/apache2/ssl/apache.key > /etc/apache2/ssl/apache.csr'' | ||
=> C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | => C'est ce certificat qu'il faut faire signer par une autorité de certification (CA) | ||
Ou qu'il faudra auto-signer. | Ou qu'il faudra auto-signer. | ||
- | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** : ''openssl genrsa -des3 1024 > ca.key''\\ | + | 3) **On décide d'auto-signer ce certificat donc on crée une clé privée qui serait celle du CA officielle** :\\ |
+ | |||
+ | ''openssl genrsa -des3 1024 > ca.key''\\ | ||
-on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | -on peut ajouter -des3 qui introduit l'usage d'une "passphrase"\\ | ||
-c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | -c'est cette clé privée qui signera tous les certificats que l'on émettra ; cette "passphrase" sera donc demandée à chaque utilisation de la clé. | ||
- | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | + | 4) **Puis à partir de la clé privée, on crée un certificat x509 pour une durée de validité d'un an auto-signé**\\ |
+ | |||
+ | ''openssl req -new -x509 -days 365 -key ca.key > ca.crt''\\ | ||
+ | |||
-On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | -On répondrait à nouveau aux questions, mais on changerait la réponse relative à "Common Name". | ||
- | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ | + | 5) **Enfin il faudrait faire signer notre certificat de demande de signature par le certificat du CA (qui a été fait par nous-même) :**\\ |
+ | |||
''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ''openssl x509 -req -in /etc/apache2/ssl/apache.csr -out /etc/apache2/ssl/apache.crt -CA ca.crt -CAkey ca.key\ | ||
-CAcreateserial -CAserial ca.srl''\\ | -CAcreateserial -CAserial ca.srl''\\ |