Créer des certificats

Format PEM Le format PEM est le format le plus répandu. Ce type de certificat contient les lignes suivantes : "-------BEGIN CERTIFICATE-------" et "-------END CERTIFICATE-------". Les certificats qui ont comme extension .pem sont identiques aux extensions .crt ou .cer. Il vous est donc possible de modifier l'extension de ces fichiers. Les certificats PEM peuvent contenir dans un même fichier le certificat et la clé privée : Pour créer un certificat simple auto-signé pour le serveur, valide pour 1365 jours, utilisez la commande OpenSSL™ suivante, en remplaçant domainedeleau.org avec le nom d'hôte de votre serveur

openssl req -new -x509 -days 1365 -nodes -text -out server.domainedeleau.org.crt -keyout server.domainedeleau.org.key -subj "/CN=domainedeleau.org"

Puis, exécutez car le serveur rejetera le fichier si ses droits sont plus importants :

chmod og-rwx server.domainedeleau.org.keyou bien chmod 0600 server.domainedeleau.org.keypuis ls -lisa server.domainedeleau.org.key

Pour plus de détails sur la façon de créer la clé privée et le certificat de votre serveur, référez-vous à la documentation d'OpenSSL™. Bien qu'un certificat auto-signé (CA) puisse être utilisé pour des tests, un certificat signé par une autorité de certificats devrait être utilisé en production. Pour créer un certificat serveur dont l'identité peut être validé par des clients, créez tout d'abord une demande de signature de certificat (CSR) et un fichier clés public/privé :

openssl req -new -nodes -text -out racine.domainedeleau.org.csr -keyout racine.domainedeleau.org.key -subj "/CN=racine.domainedeleau.org"

chmod 0600 racine.domainedeleau.org.key

Avant de créer un CSR, le requérant crée une paire de clés (une publique et une privée) en gardant la clé privée secrète. Le CSR contient des informations d'identification du demandeur et la clé publique choisie par le demandeur. La clé privée correspondante n'est pas incluse dans le CSR, mais est utilisée pour signer numériquement la demande. Le CSR peut être accompagné d'autres informations d'identification ou des preuves d'identité requises par l'autorité de certification, et l'autorité de certification peut contacter le demandeur pour plus d'informations. L'autorité de certification retourne un certificat d'identité signé numériquement avec la clé privée de l'autorité de certification. Puis, signez la demande avec la clé pour créer une autorité de certificat racine. pour générer le CSR : openssl req -new -key domainedeleau.org.key > domainedeleau.org.csr Le système va vous demander de saisir des champs ; remplissez-les en respectant les instructions données sur Obtenir un certificat serveur éventuellement ne rien mettre dans d'éventuels champs "A challenge password" ou "An optional company name"

openssl x509 -x509toreq -in server.domainedeleau.org.crt -out domainedeleau.org.csr -signkey racine.domainedeleau.org.key

openssl x509 -req -in racine.domainedeleau.org.csr -text -days 13650 -signkey racine.domainedeleau.org.key -out racine.domainedeleau.org.crt

Enfin, créez un certificat serveur signé par la nouvelle autorité de certificat racine :

openssl req -new -nodes -text -out server.domainedeleau.org.csr -keyout server.domainedeleau.org.key -subj "/CN=racine.domainedeleau.org"

chmod og-rwx server.domainedeleau.org.key

openssl x509 -req -in server.domainedeleau.org.csr -text -days 1365 -CA racine.domainedeleau.org.crt -CAkey racine.domainedeleau.org.key -CAcreateserial -out server.domainedeleau.org.crt