Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:certificat:certificatca [2021/11/28 20:43] – [Windows] techer.charles_educ-valadon-limoges.fr
+++ reseau:certificat:certificatca [2025/06/11 09:29] (Version actuelle) – [Génération du certificat avec signature par le CA] admin
@@ Ligne 8: / Ligne 8: @@
 ===== Démarche =====
 La création d'un certificat auto-signé pour le CA
-  * Création de la **clé privée** ;
+  * Création de la **clé privée** de la CA ;
-  * Création de la **requête de certification de la clé publique** ;
+  * Création de la **requête de certification** ;
-  * Création du **certificat** qui va contenir la clé publique et les informations d'identification de l'utilisateur ou du serveur
+  * Création du **certificat auto-signé** de la CA.
 Dans ce document est présenté la création d'un certificat signé pour un utilisateur
+  * Création de la **clé privée** de l'utilisateur ;
+  * Création de la **requête de certification** ;
+  * Création du **certificat** de l'utilisateur signé par la CA.
 ===== Création de la clé privée de l'autorité de certification (CA) =====
@@ Ligne 73: / Ligne 76: @@
 ===== Génération du certificat avec signature par le CA  =====
 Lors de la génération du certificat signé par le CA, vous avez à préciser  le format du certificat (x509) et la durée de validation (365 jours). Il est nécessaire de préciser el numéro de série du certificat (set_serial).
 <code shell>
 $ openssl x509 -req -days 365 -CA ca.crt -CAkey ca-key.pem -set_serial 01 -in user.csr -out user.crt
@@ Ligne 78: / Ligne 82: @@
 Le certificat généré est le fichier **.crt** et la clé privée associée, le fichier **.pem**.
-Pour vérifier que le certificat de l'utilisateur est correct,; utiliser la commande suivante :
+Pour vérifier que le certificat de l'utilisateur est correct, utilisez la commande suivante :
 <code shell>
 $ openssl verify -CAfile ca.crt user.crt
-serverMariaDB-cert.pem: OK
+user.crt: OK
 </code>
 ===== Visualisation des informations du certificat =====
   * sous Linux, vous pouvez constater que le certificat est signé par la CA qui a vérifié l'identité de l'utilisateur:
 {{ :reseau:certificat:certificat_03.png?400 |}}
+===== Extraire la clé publique du certificat =====
+<code shell>
+$ openssl x509 -in user.crt -pubkey -out user-public.pem
+</code>
+Pour visualiser le contenu de cette clé privée :
+<code shell>
+$ openssl rsa -in user-public.pem -pubin -text
+</code>
+===== Utilisation de la clé publique pour une connexion distance en SSH =====
+Génération de des informations qui seront ensuite copiée dans le fichier **~/.ssh/authorized_keys** du serveur distant:
+<code shell>
+# ssh-keygen -i -m PKCS8 -f user-public.pem >> nom_fichier
+</code>
+Le contenu du fichier **nom_fichier** doit être ajouté au contenu du fichier **~/.ssh/authorizedkeys**.
+Vous pouvez ensuite vous connecter au serveur distant en indiquant votre clé privée :
+<code shell>
+$ ssh -i user-private.pem user@adresseIPserverur
+</code>
 ===== Transmettre le certificat =====
-Le certificat est maintenant à transmettre à l'utilisateur :
+Le certificat **user.crt** est maintenant à transmettre à l'utilisateur :
   * si l'utilisateur possède déjà sa clé privée, la transmission du certificat peut se faire sans utiliser un canal sécurisé car la clé privée n'est pas transmise.
   * si vous avez à transmettre la clé privée en plus du certificat c'est à dire une identité numérique complète, il faudra sécuriser la transmission pour protéger la clé privée.
@@ Ligne 101: / Ligne 131: @@
 ==== Linux-Debian ====
-  * Le certificat de la CA doit être placé dans le dossier **/usr/local/share/ca-certificates/**
+Pour les distributions Debian/Ubuntu, tous les certificats racine sont installés dans le répertoire **/etc/ssl/certs** mais pour mettre à jour ce répertoire, il faut suivre la démarche suivante :
+  * placez le certificat de la CA dans le dossier **/usr/local/share/ca-certificates/**
   * puis ensuite il faut effectuer une mise à jour :
 <code shell>
 $ sudo cp ca.crt /usr/local/share/ca-certificates/ca.crt
 $ sudo update-ca-certificates
+</code>
 ==== Windows ====
 Utilisez la console **certmgr.msc** pour importer le certificat dans le dossier **Autorités de certification racines de confiance**.
+<WRAP center round info>
+**CAcert.org** est une association qui fourni gratuitement des certificats ssl (signature, chiffrement, connexion, certificats https).
+Pour que les certificats signés par **CAcert.org** soit reconnus comme de confiance, il est nécessaire d'installer les certificats racine de CAcert.org.
+https://www.cacert.org/
+</WRAP>