logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 20-06-2024 15:20:40

Zinzin
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : gnome
Inscription : 03-03-2016

créer des certificats auto-signés pour des pages web interne

Bonjour

Je vous explique rapidement la situation : j'ai quelques outils en local (pf, dns, proxy, ...) et j'en ai eu marre de devoir régulièrement accepter le risque d’accéder à une page https ayant un certificat auto signé.
Du coup j'ai créé une "Autorités de certification" sur mon pfsense puis un certificat lié à cette autorité. Le certificat est présenter par nginx pour la page web et j'ai aussi importer le certificat dans mon navigateur mais au final j'ai toujours cette fameuse page hmm

Si quelqu'un a des idées de ce que j'ai pu louper je suis preneur svp

Tout ce qui est .rar est share !

Hors ligne

#2 20-06-2024 16:00:53

vincen
Adhérent(e)
Lieu : Lausanne, Suisse
Distrib. : Debian 11/12
(G)UI : KDE
Inscription : 19-08-2021
Site Web

Re : créer des certificats auto-signés pour des pages web interne

oui qui doit te dire que le certificat est généré par une entité inconnue wink Il me semble que tu peux importer par un moyen ou un autre une autre entité de certification dans un browser hmm

J'écris en Bépo
Je stocke mes fichiers dans NextCloud
Tous mes ordinateurs tournent sous Linux et mes serveurs d'hébergement sous Linux/Webmin/Virtualmin wink
Vive l'informatique libre !

Hors ligne

#3 20-06-2024 20:37:47

Zinzin
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : gnome
Inscription : 03-03-2016

Re : créer des certificats auto-signés pour des pages web interne

C'est exact mais l'importation et sans effet hmm

En continuant mes tests j'ai réussi à faire fonctionner mais uniquement en générant un certificat spécifique par site (nom dns complet par certif et import de chaque certif dans le navigateur).

Est il possible de faire la meme chose de façon plus générique du genre : *.local ? Histoire que ce soit moins lourd à maintenir ?

Tout ce qui est .rar est share !

Hors ligne

#4 21-06-2024 07:50:45

vincen
Adhérent(e)
Lieu : Lausanne, Suisse
Distrib. : Debian 11/12
(G)UI : KDE
Inscription : 19-08-2021
Site Web

Re : créer des certificats auto-signés pour des pages web interne

Zinzin a écrit :


Est il possible de faire la meme chose de façon plus générique du genre : *.local ? Histoire que ce soit moins lourd à maintenir ?


Non les certificats SSL ne marchent qu'avec des FQDN et pour faire des génériques il faut passer par une autorité de certification et en aucun cas de toute façon sur un .local qui n'est pas une extension en vigueur sur Internet !
Tu as pas de dns local pour ton LAN ? car dans ce cas tu peux donner des noms FQDN à tes machines wink
Sinon tu as essayé quelque chose de ce style ? https://www.techrepublic.com/article/ho … d-firefox/

Dernière modification par vincen (21-06-2024 07:52:12)


J'écris en Bépo
Je stocke mes fichiers dans NextCloud
Tous mes ordinateurs tournent sous Linux et mes serveurs d'hébergement sous Linux/Webmin/Virtualmin wink
Vive l'informatique libre !

Hors ligne

#5 21-06-2024 15:59:32

Zinzin
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : gnome
Inscription : 03-03-2016

Re : créer des certificats auto-signés pour des pages web interne

J'ai bien un serveur DNS en local ce qui me permet de m'affranchir des extensions en vigueur sur internet justement.
Et oui j'ai bien un FQDN par machine, ainsi qu'une autorité de certification et un certificat par FQDN.

Ma problématique c'est la lourdeur de créer un certificat par FQDN et de la déployer sur mon proxy et mes 4/5 pc. D'où l’intérêt du certificat générique.

Je n'ai pas tenté de déployer le certificat directement sur le pc, je vais tenter ça voir si ça fonctionne.

Tout ce qui est .rar est share !

Hors ligne

#6 21-06-2024 16:08:53

vincen
Adhérent(e)
Lieu : Lausanne, Suisse
Distrib. : Debian 11/12
(G)UI : KDE
Inscription : 19-08-2021
Site Web

Re : créer des certificats auto-signés pour des pages web interne

Tu crées le certif avec quel outil ? OpenSSL ? Si c'est le cas tu peux ajouter des fqdn supplémentaires dans le certif en utilisant le champ

[ alternate_names ]


J'écris en Bépo
Je stocke mes fichiers dans NextCloud
Tous mes ordinateurs tournent sous Linux et mes serveurs d'hébergement sous Linux/Webmin/Virtualmin wink
Vive l'informatique libre !

Hors ligne

#7 21-06-2024 20:47:43

Zinzin
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : gnome
Inscription : 03-03-2016

Re : créer des certificats auto-signés pour des pages web interne

Je n'ai pas reussi à installer mon certificat sur ma debian : il est refusé. Je vais voir si je trouve d'autre tuto.

J'utilise Pfsense pour créer mes certificats et cette option n'a pas l'air présente. Mais dans tout les cas je serais obligé de ré-importer le certificat actualisé sur mes 4 pc non ?

Tout ce qui est .rar est share !

Hors ligne

#8 22-06-2024 09:46:33

vincen
Adhérent(e)
Lieu : Lausanne, Suisse
Distrib. : Debian 11/12
(G)UI : KDE
Inscription : 19-08-2021
Site Web

Re : créer des certificats auto-signés pour des pages web interne

Zinzin a écrit :


J'utilise Pfsense pour créer mes certificats et cette option n'a pas l'air présente. Mais dans tout les cas je serais obligé de ré-importer le certificat actualisé sur mes 4 pc non ?


Ah oui peut-être une limitation de pfsense !! Il te faudra effectivement le réimporter sur toutes les machines mais ça sera un unique pour tous tes fqdn wink


J'écris en Bépo
Je stocke mes fichiers dans NextCloud
Tous mes ordinateurs tournent sous Linux et mes serveurs d'hébergement sous Linux/Webmin/Virtualmin wink
Vive l'informatique libre !

Hors ligne

#9 24-06-2024 15:57:09

Zinzin
Membre
Distrib. : Debian Jessie
Noyau : Linux 3.16.0-4-686-pae
(G)UI : gnome
Inscription : 03-03-2016

Re : créer des certificats auto-signés pour des pages web interne

bon un certif avec tout les fqdn ne semble pas être appréciée non plus par ma machine hmm

Pour le moment je vais donc faire un certif par site même si ce n'est pas vraiment une solution pratique elle a le mérite de ne pas invalider l'historique lors d'un ajout hmm

Tout ce qui est .rar est share !

Hors ligne

Pied de page des forums