Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste:
reseau:certificat:certificatautosigne

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
reseau:certificat:certificatautosigne [2021/11/28 15:41]
techer.charles_educ-valadon-limoges.fr [Création de la requête de demande de signature du certificat] 		reseau:certificat:certificatautosigne [2021/11/28 19:02] (Version actuelle)
techer.charles_educ-valadon-limoges.fr
Ligne 1: Ligne 1:
-====== Créer un certificat autosigné ======+====== Créer un certificat autosigné avec OpenSSH======
 ===== Présentation ===== ===== Présentation =====
  
Ligne 47: Ligne 47:
 </WRAP> </WRAP>
  
-===== Générer la clé publique RSA (contenu dans le fichier user.pem) =====+<WRAP center round info> 
 +Pour ne pas associer de pass-phrase à la clé privée ne précisez pas  l'algorithme de chiffrement en lançant la commande 
 +<code shell> 
 +$ openssl genrsa -out user-private.pem 2048 
 +</code> 
 +</WRAP> 
 + 
 +===== Générer la clé publique RSA (contenu dans le fichier user-private.pem) =====
 <code shel> <code shel>
 $ openssl rsa -in user-private.pem -out user-public.pem -pubout $ openssl rsa -in user-private.pem -out user-public.pem -pubout
Ligne 72: Ligne 79:
 Pour générer la requête de demande de signature, il faut utiliser le fichier contenant la clé privée. Pour générer la requête de demande de signature, il faut utiliser le fichier contenant la clé privée.
  
-Lors de la création de la requête il est important de saisir un **Common Name** unique. +Lors de la création de la requête vous avez à saisir vos informations d'identification et il est important d'indiquer un **Common Name** unique. 
   * Saisissez la commande suivante :   * Saisissez la commande suivante :
 <code shell> <code shell>
-$ openssl req -new -key user-private.pem  -out user-private.csr+$ openssl req -new -key user-private.pem  -out user.csr
  
 You are about to be asked to enter information that will be incorporated You are about to be asked to enter information that will be incorporated
Ligne 104: Ligne 111:
   * **-out** : Indique le fichier de sortie   * **-out** : Indique le fichier de sortie
  
-/!\ Attention, le champ Common Name doit correspondre à l'URL pour laquelle le certificat va être utilisé /!\ +===== Génération du certificat auto-signé ===== 
- +Lors de la génération d'un certificat autosigné, vous avez à préciser  le format du certificat (x509) et la durée de validation (ici 365 jours)
-crea_cert_as_2 +
-====== Notes ====== +
-===== Création clé privée du CA : ===== +
-  +
-<code shel> +
-openssl genrsa 2048 -out ca-key.pem +
-</code> +
-Une clé maintenant :  +
-  la clé privée de votre autorité de certification (CAca-key.pem. +
- +
- +
-===== Création certificat du CA en renseignant les informations d'identité. Il est important que le Common Name soit unique pour chaque certificat:  +
- =====+
 <code shell> <code shell>
-openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca-cert.pem +openssl x509 -req -days 365 -in user.csr -signkey user-private.pem -out user.crt
-</code>+
  
-Deux clés maintenant :  
-  * la clé privée de l'autorité de certification (CA) ca-key.pem. 
-  * le fichier du certificat de l'Autorité (CA)  ca-pert.pem ; 
- 
-===== Création de la clé privée pour un serveur ===== 
-Création de la clé privée du serveur en utilisant les deux fichiers créés auparavant et en indiquant un Common Name unique et en définissant un mot de passe comme chalenge password pour protéger la clé privée. 
-<code shell> 
-$ sudo openssl req -newkey rsa:2048 -nodes -keyout server-key.pem -out server-req.pem 
-Generating a RSA private key 
-writing new private key to 'server-key.pem' 
-Country Name (2 letter code) [AU]:FR 
-State or Province Name (full name) [Some-State]:Haute-Vienne 
-Locality Name (eg, city) []:Limoges 
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:BTS SIO CNED 
-Organizational Unit Name (eg, section) []: 
-Common Name (e.g. server FQDN or YOUR name) []:MariaDB server 
-Email Address []: 
- 
-Please enter the following 'extra' attributes 
-to be sent with your certificate request 
-A challenge password []: 
-An optional company name []: 
-</code> 
-  
-===== Traitement de la clé privée du serveur MariaDB pour obtenir un type de clé RSA : ===== 
-<code shell> 
-$ openssl rsa -in server-key.pem -out server-key.pem 
-writing RSA key 
-</code> 
-===== Signature du certificat du serveur par votre autorité de certification (CA) : ===== 
-<code shell> 
-$ openssl x509 -req -in server-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem 
 Signature ok Signature ok
-subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Internet Widgits Pty Ltd, OU = BTS SIO, CN = server +subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Lyc\C3\83\C2\A9e Suzanne Valadon, OU = BTS SIO, CN = user 
-Getting CA Private Key+Getting Private key 
 +Enter pass phrase for user-private.pem: 
 +sio@vpsdebian:~/certificat$
 </code> </code>
-Vous disposez maintenant de deux fichiers supplémentaires qui permettront de sécuriser la communication le serveur : +Le certificat généré est le fichier **.crt** et la clé privée associée, le fichier **.pem**. 
-  * Le fichier de certificat du serveur : server-cert.pem ; +
-  Le fichier de clé privée du serveur : server-key.pem+
  
-===== Vérification que le certificat du serveur est correct avec la commande suivante : ===== +===== Visualisation des informations du certificat ===== 
-<code shell> +  * sous Linux, vous pouvez constater que le certificat est auto-signé : 
-$ openssl verify -CAfile ca-cert.pem server-cert.pem +{{ :reseau:certificat:certificat_01.png?400 |}}
-server-cert.pem: OK +
-</code>+
  
-===== Création du certificat SSL pour un utilisateur ===== +  * Sous Windows, après l'avoir récupéré avec scp, vous pouvez également constater que le certificat est auto-signé :  
-Création de la clé privée de l'utilisateur en définissant un mot de passe comme chalenge password : +{{ :reseau:certificat:certificat_02.png?400 |}}
-<code shell> +
-$ sudo openssl req -newkey rsa:2048 -nodes -keyout user-key.pem -out user-req.pem +
-Generating a RSA private key +
-writing new private key to 'user-key.pem' +
-Country Name (2 letter code) [AU]:FR +
-State or Province Name (full name) [Some-State]:Haute-Vienne +
-Locality Name (eg, city) []:Limoges +
-Organization Name (eg, company) [Internet Widgits Pty Ltd]:BTS SIO +
-Organizational Unit Name (eg, section) []: +
-Common Name (e.g. server FQDN or YOUR name) []:user +
-Email Address []:+
  
-Please enter the following 'extra' attributes +===== Utilisation de la clé publique pour une connexion distance en SSH ===== 
-to be sent with your certificate request +Génération de des informations qui seront ensuite copiée dans le fichier **~/.ssh/authorized_keys** du serveur distant:
-A challenge password []: +
-An optional company name []:  +
-</code>+
  
-===== Traitement de la clé privée du client pour obtenir un type de clé RSA : ===== 
-<code shell> 
-$ sudo openssl rsa -in user-key.pem -out user-key.pem 
-writing RSA key 
-</code> 
-===== Signature du certificat du client MariaDB par votre autorité de certification (CA) : ===== 
-<code shell> 
-$ sudo openssl x509 -req -in user-req.pem -days 365000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out user-cert.pem 
-Signature ok 
-subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Internet Widgits Pty Ltd, OU = BTS SIO, CN = User 
-Getting CA Private Key 
-</code> 
-===== Vérification du certificat du client MariaDB : ===== 
 <code shell> <code shell>
-$ openssl verify -CAfile ca-cert.pem user-cert.pem +# ssh-keygen --m PKCS8 -f user-public.pem >> nom_fichier
-user-cert.pem: OK+
 </code> </code>
 +Le contenu du fichier **nom_fichier** doit être ajouter au contenu du fichier **~/.ssh/authorizedkeys**.
  
-====== Format de fichier ====== +Vous pouvez" ensuite vous connecter au serveur distant en indiquant votre clé privée :
-Les identités numériques sont enregistrées dans des conteneurs protégés et standardisés au format PKCS#12. Un fichier de ce type contient :  +
-  * la clé privée +
-  * le certificat de l'utilisateur(contenant sa clé publique) ; +
-  * le certificat de la CA signataire +
- +
-Ce fichier qui contient l'identité numérique d'un utilisateur a en général l'extension .p12 et est protégé par mot de passe. +
- +
-=====  Convertir le fichier PFX/P12 au format PEM=====+
 <code shell> <code shell>
-# openssl pkcs12 -in moncertificat.p12 -out moncertificat.pem -nodes+$ ssh -i user-private.pem user@adresseIPserverur
 </code> </code>
-===== Extraire la clé privée de votre certificat au format PFX/P12 ===== 
-<code shell> 
-# openssl pkcs12 -in moncertificat.p12 -out maclessh.pem -nodes -nocerts 
-</code> 
- 
-===== Extraire la clé publique du certificat au format PEM et ajout de celle-ci dans le fichier contenant la clé privée ===== 
- 
-<code shell> 
-# openssl x509 -in moncertificat.pem -pubkey -noout >> maclessh.pem 
-</code> 
- 
-===== Utilisation de ssh-keygen pour créer l'empreinte a copier sur le serveur d’accès dans le fichier  ~/.ssh/authorizedkeys===== 
-<code shell> 
-# ssh-keygen -i -m PKCS8 -f maclessh.pem 
-</code> 
-La ligne obtenu doit être copié sur le serveur, dans le fichier ~/.ssh/authorizedkeys 
- 
-Test de la connexion 
-Maintenant, vous pouvez tester la connexion au serveur avec de l'authentification forte. 
-# ssh -i maclessh.pem utilisateur@NOM_DU_SERVEUR 
- 
-Optionnel : ajout du fichier maclessh.pem dans la configuration du client 
-Si vous le souhaitez, vous pouvez ajouter les lignes suivantes dans le fichier de configuration de votre client SSH. Celui se trouve généralement à l'endroit ~/.ssh/config 
-Host NOM_DU_SERVEUR 
-IdentityFile chemin/vers/maclessh.pem 
-    
- 
-Une fois que cela est fait, vous n'avez plus qu'à taper ceci pour accéder au serveur : 
-# ssh utilisateur@NOM_DU_SERVEUR 
- 
- 
-Pour extraire Ortu extraire  
-Ressources : https://tbs-certificats.com/FAQ/fr/auth_forte_openssh.html 
- 
-CSR (Certificate Signing Request) : demande externe de certificat à la CA en fournissant la clé publique et des informations d'identité et obtention après vérification d'un certificat signé  
  
 ====== Format de fichier ====== ====== Format de fichier ======
Ligne 274: Ligne 163:
   * **PKCS12**  : offret une sécurité renforcée par rapport au format PEM en texte brut. Cela peut contenir du matériel de clé privée. Il est utilisé préférentiellement par les systèmes Windows et peut être librement converti au format PEM via OpenSL.   * **PKCS12**  : offret une sécurité renforcée par rapport au format PEM en texte brut. Cela peut contenir du matériel de clé privée. Il est utilisé préférentiellement par les systèmes Windows et peut être librement converti au format PEM via OpenSL.
   * **DER** : format parent de PEM et est à considéré comme une version binaire du fichier PEM codé en base64. Pas couramment utilisé en dehors de Windows.   * **DER** : format parent de PEM et est à considéré comme une version binaire du fichier PEM codé en base64. Pas couramment utilisé en dehors de Windows.
 +
  
  
reseau/certificat/certificatautosigne.1638110475.txt.gz · Dernière modification: 2021/11/28 15:41 de techer.charles_educ-valadon-limoges.fr

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
CC Attribution-Noncommercial-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki