Ceci est une ancienne révision du document !
Un certificat autosigné peut servir :
Ce document utilise le logiciel OpenSSH soit sous Linux ou Windows.
La création d'un certificat auto-signé se réalise en trois étapes
Dans ce document est présenté la création d'un certificat autosigné pour un utilisateur
Avec OpenSSL, la clé privée générée contient également les informations de la clé publique. Il n'est donc pas nécessaire de générer la clé publique séparément.
Dans l'invite de commandes lancez la commande suivante :
$ openssl genrsa -aes256 -out user-private.pem 2048
Indiquez une pass-phrase pour votre nouvelle clé, pass-phrase qui sera demandé lors de la création du certificat.
Pour visualiser le contenu de cette clé privée :
openssl rsa -in user-private.pem -text
La commande suivant permet de connaître la liste des chiffrements disponibles :
$ openssl list -cipher-algorithms
$ openssl rsa -in user-private.pem -out user-public.pem -pubout Enter pass phrase for user-private.pem Writing RSA key
Pour visualiser le contenu de cette clé privée :
$ openssl rsa -in user-public.pem -pubin -text
Vous disposez maintenant :
Il est possible de supprimer la pass-phrase associée à la clé privée en générant une nouvelle clé privée à partir de cela déjà créer. Pour cela exécutez la commande suivante :
$ openssl rsa -in user-private.pem -out user-private_nopass.pem
Pour générer la requête de demande de signature, il faut utiliser le fichier contenant la clé privée.
Lors de la création de la requête vous avez à saisir vos informations d'identification et il est important d'indiquer un Common Name unique.
$ openssl req -new -key user-private.pem -out user.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:FR State or Province Name (full name) [Some-State]:Haute-Vienne Locality Name (eg, city) []:Limoges Organization Name (eg, company) [Internet Widgits Pty Ltd]:Lycée Syzanne Valadon Organizational Unit Name (eg, section) []:BTS SIO Common Name (e.g. server FQDN or YOUR name) []:user Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Lors de la génération d'un certificat autosigné, vous avez à préciser le format du certificat (x509) et la durée de validation (ici 365 jours)
$ openssl x509 -req -days 365 -in user.csr -signkey user-private.pem -out user.crt Signature ok subject=C = FR, ST = Haute-Vienne, L = Limoges, O = Lyc\C3\83\C2\A9e Suzanne Valadon, OU = BTS SIO, CN = user Getting Private key Enter pass phrase for user-private.pem: sio@vpsdebian:~/certificat$
Le certificat généré est le fichier .crt et la clé privée associée, le fichier .pem.
En résumé, il existe quatre manières différentes de présenter les certificats et leurs composants:
Les identités numériques sont enregistrées dans des conteneurs protégés et standardisés au format PKCS#12. Un fichier de ce type contient :
Ce fichier qui contient l'identité numérique d'un utilisateur a en général l'extension .p12 et est protégé par mot de passe.
# openssl pkcs12 -in moncertificat.p12 -out moncertificat.pem -nodes
# openssl pkcs12 -in moncertificat.p12 -out maclessh.pem -nodes -nocerts
# openssl x509 -in moncertificat.pem -pubkey -noout >> maclessh.pem
# ssh-keygen -i -m PKCS8 -f maclessh.pem
La ligne obtenu doit être copié sur le serveur, dans le fichier ~/.ssh/authorizedkeys
Test de la connexion Maintenant, vous pouvez tester la connexion au serveur avec de l'authentification forte.
Optionnel : ajout du fichier maclessh.pem dans la configuration du client Si vous le souhaitez, vous pouvez ajouter les lignes suivantes dans le fichier de configuration de votre client SSH. Celui se trouve généralement à l'endroit ~/.ssh/config Host NOMDUSERVEUR IdentityFile chemin/vers/maclessh.pem
Une fois que cela est fait, vous n'avez plus qu'à taper ceci pour accéder au serveur :
Pour extraire Ortu extraire Ressources : https://tbs-certificats.com/FAQ/fr/auth_forte_openssh.html
CSR (Certificate Signing Request) : demande externe de certificat à la CA en fournissant la clé publique et des informations d'identité et obtention après vérification d'un certificat signé