Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:camicrosoft:accueil [2026/01/19 16:55] – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
+++ reseau:certificat:camicrosoft:accueil [2026/01/19 22:22] (Version actuelle) – [Obtenir un certificat initial (bootstrap)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 79: / Ligne 79: @@
   * Lien  https://www.it-connect.fr/ad-cs-comment-delivrer-un-certificat-tls-pour-un-serveur-web-linux/
 === Générer une clé privée et un CSR ===
+Pour les services comme Apache, Nginx, HAProxy ou Postfix, les clé privées sont enregistrées dasn le dossier **/etc/ssl/private/** :
+  * répertoire défini pour contenir les clés privées sensibles
+  * avec les permissions suivantes : drwx--x--x root:root /etc/ssl/private
     * En CLI
@@ Ligne 84: / Ligne 89: @@
 openssl genrsa -out /etc/ssl/private/server.key 2048
 chmod 600 /etc/ssl/private/server.key
+chown root:root /etc/ssl/private/server.key
 </code>
+=== Gestion de la clé pour HAProxy ===
+HAProxy préfère un fichier unique PEM contenant (dans l'ordre) :
+   * la clé privée,
+   * le certificat du serveur,
+   * la chaîne intermédiaire
+Ce fichier PEM unique est placé dasn le dossier **/etc/haproxy/certs/**
+Contenu du fichier PEM :
+<code>
+-----BEGIN PRIVATE KEY-----
+(key)
+-----END PRIVATE KEY-----
+-----BEGIN CERTIFICATE-----
+(cert)
+-----END CERTIFICATE-----
+(intermediate chain)
+</code>
+  * Droits :
+<code>
+chmod 600 /etc/haproxy/certs/nomsite.pem
+chown root:root /etc/haproxy/certs/nomsite.pem
+</code>
+=== Gestion de la clé pour Apache2 ===
+Dossiers de la clé et du certificat
+  * clé privée : /etc/ssl/private/nomsite.key
+  * certificat : /etc/ssl/certs/nomsite.crt
+Configuration du fichier pioru le site Web **/etc/apache2/sites-enabled/site.conf** :
+<code>
+SSLCertificateFile /etc/ssl/certs/nomsite.crt
+SSLCertificateKeyFile /etc/ssl/private/nomsite.key
+</code>
+=== Gestion du certificat pour Tomcat9 ===
+  * créer le dossier **/etc/tomcat9/ssl**
+  * créer le fichier keystore unique contenant :
+    * la clé privée,
+    * le certificat signé,
+    * la chaîne intermédiaire ADCS
+  * Création du keystore PKCS12 depuis les fichiers PEM :
+<code>
+openssl pkcs12 -export \
+   -inkey server.key \
+   -in cert.pem \
+   -certfile chain.pem \
+   -out /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Protection du certificat:
+<code>
+chmod 600 /etc/tomcat9/ssl/tomcat.p12
+chown tomcat:tomcat /etc/tomcat9/ssl/tomcat.p12
+</code>
+  * Configuration Tomcat dans **/etc/tomcat9/server.xml**, dans le bloc <Connector HTTPS> :
+<code>
+<Connector
+     protocol="org.apache.coyote.http11.Http11NioProtocol"
+     port="8443"*
+     maxThreads="200"
+     scheme="https"
+     secure="true"
+     SSLEnabled="true"
+     keystoreFile="/etc/tomcat9/ssl/tomcat.p12"
+     keystoreType="PKCS12"
+     keystorePass="LE_MOT_DE_PASSE_DU_P12"
+     clientAuth="false"
+     sslProtocol="TLS" />
+</code>
+   * relancer le service Tomcat9
+code>
+systemctl restart tomcat9
+</code>
+=== Génération du fichier de demande de signature pour le certificat ===
 Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu :
@@ Ligne 199: / Ligne 295: @@
 <code>
-cat guac.lab.local.crt guac.lab.local.key rootCA.crt > \  /etc/haproxy/certs/guac.lab.local.pem
+cat guac.lab.local.key guac.lab.local.crt rootCA.crt > /etc/haproxy/certs/guac.lab.local.pem
 </code>
@@ Ligne 218: / Ligne 314: @@
-➜
-➜ L’utiliser pour s’authentifier auprès du CES
-➜ Automatiser le renouvellement du certificat via CES
-➜ Installer automatiquement le nouveau certificat dans le système