Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:camicrosoft:accueil [2026/01/19 16:50] – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
+++ reseau:certificat:camicrosoft:accueil [2026/01/19 22:22] (Version actuelle) – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 79: / Ligne 79: @@
   * Lien  https://www.it-connect.fr/ad-cs-comment-delivrer-un-certificat-tls-pour-un-serveur-web-linux/
 === Générer une clé privée et un CSR ===
+Pour les services comme Apache, Nginx, HAProxy ou Postfix, les clé privées sont enregistrées dasn le dossier **/etc/ssl/private/** :
+  * répertoire défini pour contenir les clés privées sensibles
+  * avec les permissions suivantes : drwx--x--x root:root /etc/ssl/private
     * En CLI
@@ Ligne 84: / Ligne 89: @@
 openssl genrsa -out /etc/ssl/private/server.key 2048
 chmod 600 /etc/ssl/private/server.key
+chown root:root /etc/ssl/private/server.key
 </code>
+=== Gestion de la clé pour HAProxy ===
+HAProxy préfère un fichier unique PEM contenant (dans l'ordre) :
+   * la clé privée,
+   * le certificat du serveur,
+   * la chaîne intermédiaire
+Ce fichier PEM unique est placé dasn le dossier **/etc/haproxy/certs/**
+Contenu du fichier PEM :
+<code>
+-----BEGIN PRIVATE KEY-----
+(key)
+-----END PRIVATE KEY-----
+-----BEGIN CERTIFICATE-----
+(cert)
+-----END CERTIFICATE-----
+(intermediate chain)
+</code>
+  * Droits :
+<code>
+chmod 600 /etc/haproxy/certs/nomsite.pem
+chown root:root /etc/haproxy/certs/nomsite.pem
+</code>
+=== Gestion de la clé pour Apache2 ===
+Dossiers de la clé et du certificat
+  * clé privée : /etc/ssl/private/nomsite.key
+  * certificat : /etc/ssl/certs/nomsite.crt
+Configuration du fichier pioru le site Web **/etc/apache2/sites-enabled/site.conf** :
+<code>
+SSLCertificateFile /etc/ssl/certs/nomsite.crt
+SSLCertificateKeyFile /etc/ssl/private/nomsite.key
+</code>
+=== Gestion du certificat pour Tomcat9 ===
+  * créer le dossier **/etc/tomcat9/ssl**
+  * créer le fichier keystore unique contenant :
+    * la clé privée,
+    * le certificat signé,
+    * la chaîne intermédiaire ADCS
+  * Création du keystore PKCS12 depuis les fichiers PEM :
+<code>
+openssl pkcs12 -export \
+   -inkey server.key \
+   -in cert.pem \
+   -certfile chain.pem \
+   -out /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Protection du certificat:
+<code>
+chmod 600 /etc/tomcat9/ssl/tomcat.p12
+chown tomcat:tomcat /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Configuration Tomcat dans **/etc/tomcat9/server.xml**, dans le bloc <Connector HTTPS> :
+<code>
+<Connector
+     protocol="org.apache.coyote.http11.Http11NioProtocol"
+     port="8443"*
+     maxThreads="200"
+     scheme="https"
+     secure="true"
+     SSLEnabled="true"
+     keystoreFile="/etc/tomcat9/ssl/tomcat.p12"
+     keystoreType="PKCS12"
+     keystorePass="LE_MOT_DE_PASSE_DU_P12"
+     clientAuth="false"
+     sslProtocol="TLS" />
+</code>
+   * relancer le service Tomcat9
+code>
+systemctl restart tomcat9
+</code>
+=== Génération du fichier de demande de signature pour le certificat ===
 Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu :
@@ Ligne 173: / Ligne 269: @@
   * => obtenir un fichier .cer.
-=== Convertir le certificat Microsoft en PEM ===
+  * récupérer le certificat de l'autorité racine (Root CA), depuis Windows.
-    * Copie le certificat .cer dans le dossier conteneur LXC
-  * convertir le fichier .cer en .crt
 <code>
-openssl x509 -in guac.lab.local.cer -out guac.lab.local.crt
+certutil -ca.cert rootCA.cer
 </code>
-    * récupérer le certificat de l'autorité racine (Root CA), depuis Windows :
+  * Copier le certificat .cer du serveur + celui de la CA dans le dossier conteneur LXC
+=== Dans le conteneur LXC Convertir le certificat Microsoft en PEM ===
+  * convertir les fichiers .cer en .crt
 <code>
-certutil -ca.cert rootCA.cer
+openssl x509 -in guac.lab.local.cer -out guac.lab.local.crt
+openssl x509 -in rootCA.cer -out rootCA.crt
 </code>
-Copie le certificat :
-Puis convertis/le mets en .crt :
-Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes
-(si tu as une CA intermédiaire : fais pareil)
-📦 Étape 4 — Construire le fichier .pem pour HAProxy
+=== Construire le fichier .pem pour HAProxy ===
 HAProxy doit avoir un seul fichier .pem contenant :
+  * la clé privée du serveur
+  * le certificat serveur
+  * la chaîne CA (intermédiaires + racine)
-la clé privée
+<code>
-le certificat serveur
+cat guac.lab.local.key guac.lab.local.crt rootCA.crt > /etc/haproxy/certs/guac.lab.local.pem
-la chaîne CA (intermédiaires + racine)
+</code>
-Exemple :
+  * Donner des permissions sécurisées :
-Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt > \  /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
-Donne des permissions sécurisées :
-Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes
-🔄 Étape 5 — Recharger HAProxy
+<code>
-haproxy -c -f /etc/haproxy/haproxy.cfg
+chmod 600 /etc/haproxy/certs/guac.lab.local.pem
-systemctl reload haproxy
+</code>
-Navigue ensuite vers :
+=== Recharger HAProxy ===
-https://guac.lab.local
+<code>
+haproxy -c -f /etc/haproxy/haproxy.cfg
+systemctl reload haproxy
+</code>
+  * Naviguer ensuite vers le site https://guac.lab.local
-➜
-➜ L’utiliser pour s’authentifier auprès du CES
-➜ Automatiser le renouvellement du certificat via CES
-➜ Installer automatiquement le nouveau certificat dans le système