Titre

Créer son autorité de certification avec OpenSsl - à terminer

Configurer une autorité privée qui permettre de distribuer des certificats pour crypter ses flux

On commence par un résumé des différents types de fichiers et certificats pour la suite :

Nom du fichier / extension Utilité
.key clé privée
.crt certificat d'un serveur
.csr demande de signature d'un certificat (Certificate Signing Request). Permet la création d'un certificat (un .crt) signée par votre autorité pour votre serveur
ca.key clé privée de votre autorité de certification
ca.crt certificat de votre autorité de certification

Notez que pour l'instant ces notes viennent de l'interprétation de ce qui est indiqué sur
http://itigloo.com/security/generate-an-openssl-certificate-request-with-sha-256-signature/

Mais une méthode est indiquée sur le site openvpn.net explique :
https://openvpn.net/index.php/open-source/documentation/howto.html#pki

On fait une élévation de privilèges :

Lien vers le fichier : cliquez ici

Création de l'autorité de certification en commençant par la clé privée : ca.key :

Lien vers le fichier : cliquez ici

Création du certificat de l'autorité de certification, cad ca.crt, en s'appuyant sur la clé privée, cad la ca.key
Il va falloir répondre à tout un tas de questions à commencer par le code du pays : FR
etc ...

Lien vers le fichier : cliquez ici

On passe maintenant à la création du certificat d'un serveur.
On commence par lui faire une clé privée :

Lien vers le fichier : cliquez ici

Création d'une demande de signature, cad un .csr (Create a Certificate Signing Request).
Il faudra encore répondre à tout un tas de questions

Lien vers le fichier : cliquez ici

Vous pouvez éventuellement faire une vérification de la demande de signature si cela vous chante :

Lien vers le fichier : cliquez ici

On passe à la signature du certificat du serveur.
Pour rappel la demande de signature est le .csr
Une clé privée est en .key
le certificat résultant est un .crt

Ci-dessous j'ai un problème car je ne sais pas pourquoi il faut mettre -set_serial 01

Lien vers le fichier : cliquez ici

Pages Web

Site WebDescription
Openssl.org commandsAide officielle des différentes commandes d'OpenSSL
Feistyduck.com openssl-cookbookFree OpenSSL cookbook indiqué par le site d'OpenSSL
Flat MountainSite qui indique comment faire un custom config file pour openssl : pas testé