Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:camicrosoft:accueil [2026/01/19 15:34] – [Configuration du service Web d'inscription des certificats] techer.charles_educ-valadon-limoges.fr
+++ reseau:certificat:camicrosoft:accueil [2026/01/19 22:22] (Version actuelle) – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 77: / Ligne 77: @@
 ===== Configurer un serveur Debian =====
 ==== Obtenir un certificat initial (bootstrap) ====
+  * Lien  https://www.it-connect.fr/ad-cs-comment-delivrer-un-certificat-tls-pour-un-serveur-web-linux/
 === Générer une clé privée et un CSR ===
+Pour les services comme Apache, Nginx, HAProxy ou Postfix, les clé privées sont enregistrées dasn le dossier **/etc/ssl/private/** :
+  * répertoire défini pour contenir les clés privées sensibles
+  * avec les permissions suivantes : drwx--x--x root:root /etc/ssl/private
     * En CLI
@@ Ligne 84: / Ligne 89: @@
 openssl genrsa -out /etc/ssl/private/server.key 2048
 chmod 600 /etc/ssl/private/server.key
+chown root:root /etc/ssl/private/server.key
 </code>
+=== Gestion de la clé pour HAProxy ===
+HAProxy préfère un fichier unique PEM contenant (dans l'ordre) :
+   * la clé privée,
+   * le certificat du serveur,
+   * la chaîne intermédiaire
+Ce fichier PEM unique est placé dasn le dossier **/etc/haproxy/certs/**
+Contenu du fichier PEM :
+<code>
+-----BEGIN PRIVATE KEY-----
+(key)
+-----END PRIVATE KEY-----
+-----BEGIN CERTIFICATE-----
+(cert)
+-----END CERTIFICATE-----
+(intermediate chain)
+</code>
+  * Droits :
+<code>
+chmod 600 /etc/haproxy/certs/nomsite.pem
+chown root:root /etc/haproxy/certs/nomsite.pem
+</code>
+=== Gestion de la clé pour Apache2 ===
+Dossiers de la clé et du certificat
+  * clé privée : /etc/ssl/private/nomsite.key
+  * certificat : /etc/ssl/certs/nomsite.crt
+Configuration du fichier pioru le site Web **/etc/apache2/sites-enabled/site.conf** :
+<code>
+SSLCertificateFile /etc/ssl/certs/nomsite.crt
+SSLCertificateKeyFile /etc/ssl/private/nomsite.key
+</code>
+=== Gestion du certificat pour Tomcat9 ===
+  * créer le dossier **/etc/tomcat9/ssl**
+  * créer le fichier keystore unique contenant :
+    * la clé privée,
+    * le certificat signé,
+    * la chaîne intermédiaire ADCS
+  * Création du keystore PKCS12 depuis les fichiers PEM :
+<code>
+openssl pkcs12 -export \
+   -inkey server.key \
+   -in cert.pem \
+   -certfile chain.pem \
+   -out /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Protection du certificat:
+<code>
+chmod 600 /etc/tomcat9/ssl/tomcat.p12
+chown tomcat:tomcat /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Configuration Tomcat dans **/etc/tomcat9/server.xml**, dans le bloc <Connector HTTPS> :
+<code>
+<Connector
+     protocol="org.apache.coyote.http11.Http11NioProtocol"
+     port="8443"*
+     maxThreads="200"
+     scheme="https"
+     secure="true"
+     SSLEnabled="true"
+     keystoreFile="/etc/tomcat9/ssl/tomcat.p12"
+     keystoreType="PKCS12"
+     keystorePass="LE_MOT_DE_PASSE_DU_P12"
+     clientAuth="false"
+     sslProtocol="TLS" />
+</code>
+   * relancer le service Tomcat9
+code>
+systemctl restart tomcat9
+</code>
+=== Génération du fichier de demande de signature pour le certificat ===
 Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu :
@@ Ligne 104: / Ligne 200: @@
 [ alt_names ]
 DNS.1 = guac.lab.local
+DNS.2 = guac
 </code>
@@ Ligne 115: / Ligne 212: @@
 </code>
-=== soumettre la CSR à la CA Microsoft ===
+    * vérifiez le csr
-   * Depuis un PC Windows membre du domaine, accédez à http://<ADCS\_SERVER>/certsrv
+<code>
-   * Cliquez sur **Demander un certificat**
+openssl req -text -noout -verify -in guac.lab.local.csr
+Certificate request self-signature verify OK
+Certificate Request:
+    Data:
+        Version: 1 (0x0)
+        Subject: CN=guac.lab.local
+        Subject Public Key Info:
+            Public Key Algorithm: rsaEncryption
+                Public-Key: (2048 bit)
+                Modulus:
+:b8:7f:55:b1:ca:09:23:12:fc:1b:d4:97:7a:76:
+e:50:37:24:ce:4a:e7:c8:3e:75:82:7b:78:9b:8b:
+:bb:6d:7e:31:6f:9c:25:77:4d:ab:55:c7:06:31:
+:dc:43:80:32:7f:5d:89:22:15:4c:ea:ea:ba:81:
+:6b:f0:16:53:3c:b1:38:db:04:33:bb:d2:04:24:
+                    db:8f:d9:a6:a7:45:04:ea:ac:3d:eb:19:91:bb:ed:
+                    d0:7b:8c:ba:6b:9b:a1:17:a2:cc:15:1b:c4:dc:fd:
+                    b9:e7:dd:5c:47:d0:d9:53:93:70:4c:c8:1a:41:32:
+:e2:c5:63:3d:d2:93:96:81:0c:bf:d9:25:59:bd:
+                    de:eb:99:56:e4:2d:06:ce:cb:33:92:98:a4:41:18:
+a:de:5d:8d:2a:b4:5b:c7:d2:d3:f1:e9:30:4c:ba:
+:fc:44:d5:f6:cf:7d:49:69:b7:b5:66:7d:99:4f:
+c:0a:cb:43:30:71:70:96:53:75:bc:18:43:ff:c8:
+                    e6:94:00:2b:ad:d9:e5:a6:5b:cc:5a:c6:6b:1e:15:
+:35:a4:3c:30:80:e8:a7:c0:de:23:79:96:d5:ab:
+c:2d:48:ad:28:63:66:6c:dc:79:5f:e8:3d:b4:4e:
+                    ab:6d:58:04:66:44:11:36:77:73:0a:50:7b:ed:59:
+                    ad:01
+                Exponent: 65537 (0x10001)
+        Attributes:
+            Requested Extensions:
+                X509v3 Subject Alternative Name:
+                    DNS:guac.lab.local, DNS:guac
+    Signature Algorithm: sha256WithRSAEncryption
+    Signature Value:
+:57:5e:29:66:bf:38:7d:b0:0f:c2:d5:cd:37:b9:51:ab:10:
+f:4c:ac:f1:15:1f:82:8b:d1:ca:e3:8f:da:03:a2:24:1c:ac:
+:f6:81:4c:8c:ac:0c:37:02:fe:ec:1f:f2:d0:51:d6:a3:f5:
+        da:01:d4:aa:c3:27:d9:d3:f1:5b:99:00:14:b3:e0:32:a4:a1:
+f:4c:2d:52:84:bc:da:fc:fd:c7:7c:ae:da:9c:b2:e3:78:24:
+:62:3d:50:af:7a:de:b5:92:91:c9:fe:f1:90:5c:8c:11:a1:
+        a7:ba:5b:ed:4f:59:05:7a:06:11:69:ca:d8:e4:1f:4e:ee:4b:
+:81:47:58:10:e1:0a:cf:cb:b9:0c:76:f5:2c:d1:05:a0:b2:
+        be:a5:da:dc:bc:9c:5e:9a:06:5b:0c:d8:13:a9:4a:fd:c3:c1:
+        c0:ff:8b:0e:33:2b:b8:0d:c8:73:f4:d3:3b:22:e6:4e:80:e3:
+        c5:f3:76:5b:a4:89:1c:f1:9b:6f:a9:88:ec:f7:f6:4e:58:2d:
+:6d:c6:06:b9:58:fa:98:db:17:9a:5c:ce:64:3a:fc:e5:be:
+f:08:58:ac:fe:3a:26:f1:ef:1d:09:9a:46:8c:2f:31:1b:68:
+        e5:96:08:ea:63:35:63:8c:6f:fb:4a:5d:28:2a:00:a5:c6:b8:
+        f8:b5:c4:ec
+</code>
-{{ :reseau:cloud:ca_09.png |}}
+  * => obtenir un fichier .cer.
-   * Cliquez sur **demande de certificat avancée** :
+  * récupérer le certificat de l'autorité racine (Root CA), depuis Windows.
-{{ :reseau:cloud:ca_10.png |}}
+<code>
+certutil -ca.cert rootCA.cer
+</code>
-Request a certificate =>
+  * Copier le certificat .cer du serveur + celui de la CA dans le dossier conteneur LXC
-advanced certificate request
-submit a certificate request by using a base‑64 encoded file
-Colle le contenu de guac.lab.local.csr
-Sélectionne un template adapté, par exemple :
+=== Dans le conteneur LXC Convertir le certificat Microsoft en PEM ===
-Web Server
+  * convertir les fichiers .cer en .crt
-Computer
-ou un template personnalisé activé pour SAN
-⚠ Important : dans la console CA, le template doit autoriser :
+<code>
+openssl x509 -in guac.lab.local.cer -out guac.lab.local.crt
+openssl x509 -in rootCA.cer -out rootCA.crt
+</code>
-"Allow private key to be exported" → pas nécessaire
-"Supply in the request" → obligatoire pour les SAN
-Télécharge ensuite :
+=== Construire le fichier .pem pour HAProxy ===
-le certificat au format Base64
+HAProxy doit avoir un seul fichier .pem contenant :
-la chaîne "CA certificate" (Root CA + éventuellement la subCA)
+  * la clé privée du serveur
+  * le certificat serveur
+  * la chaîne CA (intermédiaires + racine)
-Tu obtiendras un fichier .cer.
+<code>
+cat guac.lab.local.key guac.lab.local.crt rootCA.crt > /etc/haproxy/certs/guac.lab.local.pem
+</code>
-🧱 Étape 3 — Convertir le certificat Microsoft en PEM
+  * Donner des permissions sécurisées :
-Dans le LXC :
-Copie le certificat :
-scp user@windows:/path/to/guac.lab.local.cer /root/
-Convertis-le si nécessaire :
+<code>
-Shellopenssl x509 -in guac.lab.local.cer -out guac.lab.local.crtAfficher plus de lignes
+chmod 600 /etc/haproxy/certs/guac.lab.local.pem
-Copie également le certificat de l'autorité racine (Root CA), depuis Windows :
+</code>
-certutil -ca.cert rootCA.cer
-Puis convertis/le mets en .crt :
+=== Recharger HAProxy ===
-Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes
-(si tu as une CA intermédiaire : fais pareil)
-📦 Étape 4 — Construire le fichier .pem pour HAProxy
+<code>
-HAProxy doit avoir un seul fichier .pem contenant :
-la clé privée
-le certificat serveur
-la chaîne CA (intermédiaires + racine)
-Exemple :
-Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt > \  /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
-Donne des permissions sécurisées :
-Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
-🔄 Étape 5 — Recharger HAProxy
 haproxy -c -f /etc/haproxy/haproxy.cfg
 systemctl reload haproxy
+</code>
-Navigue ensuite vers :
+  * Naviguer ensuite vers le site https://guac.lab.local
-https://guac.lab.local
-➜
-➜ L’utiliser pour s’authentifier auprès du CES
-➜ Automatiser le renouvellement du certificat via CES
-➜ Installer automatiquement le nouveau certificat dans le système