Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:certificatca [2021/11/28 19:31] – [Génération du certificat auto-signé du CA] techer.charles_educ-valadon-limoges.fr
+++ reseau:certificat:certificatca [2025/06/11 09:29] (Version actuelle) – [Génération du certificat avec signature par le CA] admin
@@ Ligne 8: / Ligne 8: @@
 ===== Démarche =====
 La création d'un certificat auto-signé pour le CA
-  * Création de la **clé privée** ;
+  * Création de la **clé privée** de la CA ;
-  * Création de la **requête de certification de la clé publique** ;
+  * Création de la **requête de certification** ;
-  * Création du **certificat** qui va contenir la clé publique et les informations d'identification de l'utilisateur ou du serveur
+  * Création du **certificat auto-signé** de la CA.
 Dans ce document est présenté la création d'un certificat signé pour un utilisateur
+  * Création de la **clé privée** de l'utilisateur ;
+  * Création de la **requête de certification** ;
+  * Création du **certificat** de l'utilisateur signé par la CA.
 ===== Création de la clé privée de l'autorité de certification (CA) =====
@@ Ligne 46: / Ligne 49: @@
 Cela ne sera pas abordé dans ce document.
-===== Signature d'un certificat =====
+====== Signature d'un certificat ======
 Deux cas de figure sont possibles :
   * la CA gère à la fois les clés privées et publiques, génère le certificat, le signe et le transmet à l'utilisateur.
@@ Ligne 55: / Ligne 58: @@
   * Création de la demande de signature (CSR) auprès du CA ;
   * Signature du certificat (CRT)
+===== Création de la clé privée de l'utilisateur ou du serveur =====
+Dans l'invite de commandes lancez la commande suivante :
+<code shell>
+$ openssl genrsa -aes256 -out user-private.pem 2048
+</code>
+Indiquez une pass-phrase pour votre nouvelle clé, pass-phrase qui sera demandé lors de la création du certificat.
+===== Création de la requête de demande de signature du certificat =====
+Pour générer la requête de demande de signature, il faut utiliser le fichier contenant la clé privée.
+Lors de la création de la requête vous avez à saisir vos informations d'identification du CA. Il est important d'indiquer un **Common Name** unique.
+  * Saisissez la commande suivante :
+<code shell>
+$ openssl req -new -key user-private.pem -out user.csr
+</code>
+===== Génération du certificat avec signature par le CA  =====
+Lors de la génération du certificat signé par le CA, vous avez à préciser  le format du certificat (x509) et la durée de validation (365 jours). Il est nécessaire de préciser el numéro de série du certificat (set_serial).
+<code shell>
+$ openssl x509 -req -days 365 -CA ca.crt -CAkey ca-key.pem -set_serial 01 -in user.csr -out user.crt
+</code>
+Le certificat généré est le fichier **.crt** et la clé privée associée, le fichier **.pem**.
+Pour vérifier que le certificat de l'utilisateur est correct, utilisez la commande suivante :
+<code shell>
+$ openssl verify -CAfile ca.crt user.crt
+user.crt: OK
+</code>
+===== Visualisation des informations du certificat =====
+  * sous Linux, vous pouvez constater que le certificat est signé par la CA qui a vérifié l'identité de l'utilisateur:
+{{ :reseau:certificat:certificat_03.png?400 |}}
+===== Extraire la clé publique du certificat =====
+<code shell>
+$ openssl x509 -in user.crt -pubkey -out user-public.pem
+</code>
+Pour visualiser le contenu de cette clé privée :
+<code shell>
+$ openssl rsa -in user-public.pem -pubin -text
+</code>
+===== Utilisation de la clé publique pour une connexion distance en SSH =====
+Génération de des informations qui seront ensuite copiée dans le fichier **~/.ssh/authorized_keys** du serveur distant:
+<code shell>
+# ssh-keygen -i -m PKCS8 -f user-public.pem >> nom_fichier
+</code>
+Le contenu du fichier **nom_fichier** doit être ajouté au contenu du fichier **~/.ssh/authorizedkeys**.
+Vous pouvez ensuite vous connecter au serveur distant en indiquant votre clé privée :
+<code shell>
+$ ssh -i user-private.pem user@adresseIPserverur
+</code>
+===== Transmettre le certificat =====
+Le certificat **user.crt** est maintenant à transmettre à l'utilisateur :
+  * si l'utilisateur possède déjà sa clé privée, la transmission du certificat peut se faire sans utiliser un canal sécurisé car la clé privée n'est pas transmise.
+  * si vous avez à transmettre la clé privée en plus du certificat c'est à dire une identité numérique complète, il faudra sécuriser la transmission pour protéger la clé privée.
+<WRAP center round important>
+Cette CA n’est pas reconnu. Il faudra également transmettre le certificat de la CA (ca.crt) pour que l’autorité soit reconnue en l'important dans la magasin de certificat de son ordinateur en tant que certificat approuvée par l’organisation.
+</WRAP>
+===== Placer dans le magasin des certificats confiance les certificats =====
+Pour reconnaître un certificat comme de confiance, il faut l'importer dans le magasin des certificats approuvés. Cela concerne le certificat de la CA.
+==== Linux-Debian ====
+Pour les distributions Debian/Ubuntu, tous les certificats racine sont installés dans le répertoire **/etc/ssl/certs** mais pour mettre à jour ce répertoire, il faut suivre la démarche suivante :
+  * placez le certificat de la CA dans le dossier **/usr/local/share/ca-certificates/**
+  * puis ensuite il faut effectuer une mise à jour :
+<code shell>
+$ sudo cp ca.crt /usr/local/share/ca-certificates/ca.crt
+$ sudo update-ca-certificates
+</code>
+==== Windows ====
+Utilisez la console **certmgr.msc** pour importer le certificat dans le dossier **Autorités de certification racines de confiance**.
+<WRAP center round info>
+**CAcert.org** est une association qui fourni gratuitement des certificats ssl (signature, chiffrement, connexion, certificats https).
+Pour que les certificats signés par **CAcert.org** soit reconnus comme de confiance, il est nécessaire d'installer les certificats racine de CAcert.org.
+https://www.cacert.org/
+</WRAP>