Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:certificatautosigne [2021/11/28 15:51]
techer.charles_educ-valadon-limoges.fr [Génération du certificat au format x509 avec une validité de 365 jours auto-signé]
+++ reseau:certificat:certificatautosigne [2021/11/28 19:02]
techer.charles_educ-valadon-limoges.fr [Format de fichier]
@@ Ligne 1: / Ligne 1: @@
-====== Créer un certificat autosigné ======
+====== Créer un certificat autosigné avec OpenSSH======
 ===== Présentation =====
@@ Ligne 47: / Ligne 47: @@
 </WRAP>
-===== Générer la clé publique RSA (contenu dans le fichier user.pem) =====
+<WRAP center round info>
+Pour ne pas associer de pass-phrase à la clé privée ne précisez pas  l'algorithme de chiffrement en lançant la commande  :
+<code shell>
+$ openssl genrsa -out user-private.pem 2048
+</code>
+</WRAP>
+===== Générer la clé publique RSA (contenu dans le fichier user-private.pem) =====
 <code shel>
 $ openssl rsa -in user-private.pem -out user-public.pem -pubout
@@ Ligne 116: / Ligne 123: @@
 </code>
 Le certificat généré est le fichier **.crt** et la clé privée associée, le fichier **.pem**.
-====== Notes ======
-===== Création clé privée du CA : =====
-<code shel>
-openssl genrsa 2048 -out ca-key.pem
-</code>
-Une clé maintenant :
-  * la clé privée de votre autorité de certification (CA) ca-key.pem.
+===== Visualisation des informations du certificat =====
+  * sous Linux, vous pouvez constater que le certificat est auto-signé :
+{{ :reseau:certificat:certificat_01.png?400 |}}
-===== Création certificat du CA en renseignant les informations d'identité. Il est important que le Common Name soit unique pour chaque certificat:
+  * Sous Windows, après l'avoir récupéré avec scp, vous pouvez également constater que le certificat est auto-signé :
- =====
+{{ :reseau:certificat:certificat_02.png?400 |}}
-<code shell>
-openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem
-</code>
-Deux clés maintenant :
+===== Utilisation de la clé publique pour une connexion distance en SSH =====
-  * la clé privée de l'autorité de certification (CA) ca-key.pem.
+Génération de des informations qui seront ensuite copiée dans le fichier **~/.ssh/authorized_keys** du serveur distant:
-  * le fichier du certificat de l'Autorité (CA)  ca-pert.pem ;
-===== Création de la clé privée pour un serveur =====
-Création de la clé privée du serveur en utilisant les deux fichiers créés auparavant et en indiquant un Common Name unique et en définissant un mot de passe comme chalenge password pour protéger la clé privée.
 <code shell>
-$ sudo openssl req -newkey rsa:2048 -nodes -keyout server-key.pem -out server-req.pem
+# ssh-keygen -i -m PKCS8 -f user-public.pem >> nom_fichier
-Generating a RSA private key
-writing new private key to 'server-key.pem'
-Country Name (2 letter code) [AU]:FR
-State or Province Name (full name) [Some-State]:Haute-Vienne
-Locality Name (eg, city) []:Limoges
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:BTS SIO CNED
-Organizational Unit Name (eg, section) []:
-Common Name (e.g. server FQDN or YOUR name) []:MariaDB server
-Email Address []:
-Please enter the following 'extra' attributes
-to be sent with your certificate request
-A challenge password []:
-An optional company name []:
 </code>
+Le contenu du fichier **nom_fichier** doit être ajouter au contenu du fichier **~/.ssh/authorizedkeys**.
-===== Traitement de la clé privée du serveur MariaDB pour obtenir un type de clé RSA : =====
-<code shell>
-$ openssl rsa -in server-key.pem -out server-key.pem
-writing RSA key
-</code>
-===== Signature du certificat du serveur par votre autorité de certification (CA) : =====
-<code shell>
-$ openssl x509 -req -in server-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
-Signature ok
-subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Internet Widgits Pty Ltd, OU = BTS SIO, CN = server
-Getting CA Private Key
-</code>
-Vous disposez maintenant de deux fichiers supplémentaires qui permettront de sécuriser la communication le serveur :
-  * Le fichier de certificat du serveur : server-cert.pem ;
-  * Le fichier de clé privée du serveur : server-key.pem
-===== Vérification que le certificat du serveur est correct avec la commande suivante : =====
+Vous pouvez" ensuite vous connecter au serveur distant en indiquant votre clé privée :
 <code shell>
-$ openssl verify -CAfile ca-cert.pem server-cert.pem
+$ ssh -i user-private.pem user@adresseIPserverur
-server-cert.pem: OK
 </code>
-===== Création du certificat SSL pour un utilisateur =====
+====== Format de fichier ======
-Création de la clé privée de l'utilisateur en définissant un mot de passe comme chalenge password :
+Lien : https://qastack.fr/server/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file
-<code shell>
+  * **.csr** : fichier de demande de signature d'un certificat contenant la clé publique et les information d'identité. Le format actuel est PKCS10, défini dans la RFC 2986. Après signature par l'autorité de certification et un certificat est renvoyé au demandeur.
-$ sudo openssl req -newkey rsa:2048 -nodes -keyout user-key.pem -out user-req.pem
+  * **.pem** (Privacy Enhanced Mail) : format de conteneur pouvant inclure :
-Generating a RSA private key
+    * uniquement le certificat public ,
-writing new private key to 'user-key.pem'
+    * une chaîne de certificats complète comprenant une clé publique, une clé privée et le certificat racine. De manière confuse ;
-Country Name (2 letter code) [AU]:FR
+    * un CSR car le format PKCS10 peut être traduit en PEM. Le nom vient de Privacy Enhanced Mail (PEM).
-State or Province Name (full name) [Some-State]:Haute-Vienne
+  * **.key**  : fichier au format PEM contenant uniquement la clé privée d’un certificat spécifique. Il s’agit d’un nom conventionnel et non normalisé.
-Locality Name (eg, city) []:Limoges
+  * **.pkcs12 .pfx .p12** : format de conteneur entièrement chiffré avec mot de passe contenant les paires de certificats publics et privés. Openssl peut transformer ce conteneur en un fichier .pem avec des clés publiques et privées (openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes)
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:BTS SIO
+  * **.der** : fichier dont les données sont encodées en binaire à la différence du format **.pem** codé en Base64. OpenSSL peut convertir un fichier .der en .pem ( openssl x509 -inform der -in to-convert.der -out converted.pem). Windows considère les fichiers .der comme des fichiers de certificat et exportera par défaut les certificats sous forme de fichiers au format .der avec une extension différente.
-Organizational Unit Name (eg, section) []:
+  * **.cert .cer .crt** : fichier au format .pem (ou rarement .der) portant une extension différente, reconnu par l'explorateur Windows comme un certificat, contrairement à **.pem**.
-Common Name (e.g. server FQDN or YOUR name) []:user
+  * **.p7b .keystore** - Défini dans le RFC 2315 en tant que PKCS numéro 7, il s'agit d'un format utilisé par Windows pour l'échange de certificats. Java les comprend de manière native et les utilise souvent .keystorecomme une extension. Contrairement aux certificats de style .pem, ce format comporte une méthode définie pour inclure les certificats de chemin de certification.
-Email Address []:
+  * **.crl** : liste de révocation de certificats utilisée par les autorités de certification comme moyen de désautoriser les certificats avant leur expiration.
-Please enter the following 'extra' attributes
+En résumé, il existe quatre manières différentes de présenter les certificats et leurs composants:
-to be sent with your certificate request
+  * PEM : Régi par les RFC et utilisé préférentiellement par les logiciels open source. Il peut avoir une variété d'extensions (.pem, .key, .cer, .cert, etc.)
-A challenge password []:
+  * **PKCS7**  : Norme ouverte utilisée par Java et prise en charge par Windows. Ne contient pas de matériel de clé privée.
-An optional company name []:
+  * **PKCS12**  : offret une sécurité renforcée par rapport au format PEM en texte brut. Cela peut contenir du matériel de clé privée. Il est utilisé préférentiellement par les systèmes Windows et peut être librement converti au format PEM via OpenSL.
-</code>
+  * **DER** : format parent de PEM et est à considéré comme une version binaire du fichier PEM codé en base64. Pas couramment utilisé en dehors de Windows.
-===== Traitement de la clé privée du client pour obtenir un type de clé RSA : =====
-<code shell>
-$ sudo openssl rsa -in user-key.pem -out user-key.pem
-writing RSA key
-</code>
-===== Signature du certificat du client MariaDB par votre autorité de certification (CA) : =====
-<code shell>
-$ sudo openssl x509 -req -in user-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out user-cert.pem
-Signature ok
-subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Internet Widgits Pty Ltd, OU = BTS SIO, CN = User
-Getting CA Private Key
-</code>
-===== Vérification du certificat du client MariaDB : =====
-<code shell>
-$ openssl verify -CAfile ca-cert.pem user-cert.pem
-user-cert.pem: OK
-</code>
-====== Format de fichier ======
-Les identités numériques sont enregistrées dans des conteneurs protégés et standardisés au format PKCS#12. Un fichier de ce type contient :
-  * la clé privée ;
-  * le certificat de l'utilisateur(contenant sa clé publique) ;
-  * le certificat de la CA signataire
-Ce fichier qui contient l'identité numérique d'un utilisateur a en général l'extension .p12 et est protégé par mot de passe.
 =====  Convertir le fichier PFX/P12 au format PEM=====
@@ Ligne 238: / Ligne 181: @@
 # openssl x509 -in moncertificat.pem -pubkey -noout >> maclessh.pem
 </code>
-===== Utilisation de ssh-keygen pour créer l'empreinte a copier sur le serveur d’accès dans le fichier  ~/.ssh/authorizedkeys=====
-<code shell>
-# ssh-keygen -i -m PKCS8 -f maclessh.pem
-</code>
-La ligne obtenu doit être copié sur le serveur, dans le fichier ~/.ssh/authorizedkeys
-Test de la connexion
-Maintenant, vous pouvez tester la connexion au serveur avec de l'authentification forte.
-# ssh -i maclessh.pem utilisateur@NOM_DU_SERVEUR
-Optionnel : ajout du fichier maclessh.pem dans la configuration du client
-Si vous le souhaitez, vous pouvez ajouter les lignes suivantes dans le fichier de configuration de votre client SSH. Celui se trouve généralement à l'endroit ~/.ssh/config
-Host NOM_DU_SERVEUR
-IdentityFile chemin/vers/maclessh.pem
-Une fois que cela est fait, vous n'avez plus qu'à taper ceci pour accéder au serveur :
-# ssh utilisateur@NOM_DU_SERVEUR
-Pour extraire Ortu extraire
-Ressources : https://tbs-certificats.com/FAQ/fr/auth_forte_openssh.html
-CSR (Certificate Signing Request) : demande externe de certificat à la CA en fournissant la clé publique et des informations d'identité et obtention après vérification d'un certificat signé
-====== Format de fichier ======
-Lien : https://qastack.fr/server/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file
-  * **.csr** : fichier de demande de signature d'un certificat contenant la clé publique et les information d'identité. Le format actuel est PKCS10, défini dans la RFC 2986. Après signature par l'autorité de certification et un certificat est renvoyé au demandeur.
-  * **.pem** (Privacy Enhanced Mail) : format de conteneur pouvant inclure :
-    * uniquement le certificat public ,
-    * une chaîne de certificats complète comprenant une clé publique, une clé privée et le certificat racine. De manière confuse ;
-    * un CSR car le format PKCS10 peut être traduit en PEM. Le nom vient de Privacy Enhanced Mail (PEM).
-  * **.key**  : fichier au format PEM contenant uniquement la clé privée d’un certificat spécifique. Il s’agit d’un nom conventionnel et non normalisé.
-  * **.pkcs12 .pfx .p12** : format de conteneur entièrement chiffré avec mot de passe contenant les paires de certificats publics et privés. Openssl peut transformer ce conteneur en un fichier .pem avec des clés publiques et privées (openssl pkcs12 -in file-to-convert.p12 -out converted-file.pem -nodes)
-  * **.der** : fichier dont les données sont encodées en binaire à la différence du format **.pem** codé en Base64. OpenSSL peut convertir un fichier .der en .pem ( openssl x509 -inform der -in to-convert.der -out converted.pem). Windows considère les fichiers .der comme des fichiers de certificat et exportera par défaut les certificats sous forme de fichiers au format .der avec une extension différente.
-  * **.cert .cer .crt** : fichier au format .pem (ou rarement .der) portant une extension différente, reconnu par l'explorateur Windows comme un certificat, contrairement à **.pem**.
-  * **.p7b .keystore** - Défini dans le RFC 2315 en tant que PKCS numéro 7, il s'agit d'un format utilisé par Windows pour l'échange de certificats. Java les comprend de manière native et les utilise souvent .keystorecomme une extension. Contrairement aux certificats de style .pem, ce format comporte une méthode définie pour inclure les certificats de chemin de certification.
-  * **.crl** : liste de révocation de certificats utilisée par les autorités de certification comme moyen de désautoriser les certificats avant leur expiration.
-En résumé, il existe quatre manières différentes de présenter les certificats et leurs composants:
-  * PEM : Régi par les RFC et utilisé préférentiellement par les logiciels open source. Il peut avoir une variété d'extensions (.pem, .key, .cer, .cert, etc.)
-  * **PKCS7**  : Norme ouverte utilisée par Java et prise en charge par Windows. Ne contient pas de matériel de clé privée.
-  * **PKCS12**  : offret une sécurité renforcée par rapport au format PEM en texte brut. Cela peut contenir du matériel de clé privée. Il est utilisé préférentiellement par les systèmes Windows et peut être librement converti au format PEM via OpenSL.
-  * **DER** : format parent de PEM et est à considéré comme une version binaire du fichier PEM codé en base64. Pas couramment utilisé en dehors de Windows.

Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Différences

Outils de la page