Création certificat SSL
1. La création de certificat permet de sécurisé des accès à internet.
===========================================
J'ai choisi de nommer mes certificats privé par "private_" suivi des noms de fichier commun, ceci afin d'éviter tout malentendu si nous achetons de "vrai" certificats.
Attention, toutes les commandes ci-après doivent être introduite dans un shell (outil terminal sur OS X) et vous devez avoir les droits root.
1.1 Création de la demande de certificat (fichiers server.key & newreq.pem)
===========================================
Ce fichier contient une RSA PRIVATE KEY du serveur + la demande de certificat
/System/Library/OpenSSL/misc/CA.pl -newreq
Il vous sera demandé une clef que vous devez choisir compliquée, cette clef vous sera demandée ultérieurement.
PEM: VotreClefCompliquée -> Attention il faudra vous souvenir de cette clef pour la configuration du serveur
Common Name: secure.fri-tic.ch -> c'est le nom de votre serveur, en fait le nom du domaine sécurisé de votre serveur
Challenge Password: VotreChallengePassword -> à conserver aussi
Vous obtenez un fichier server.key, il faut copier le fichier dans le fichier private_server.key et effacer la partie certificat et ne conserver que la partie RSA PRIVATE KEY, ceci au moyen d'un éditeur de texte. Ce sera la clef privée de votre serveur.
Si vous désirez une certification officielle, vous devez envoyer le fichier newreq.pem à une autorité de certification, sinon vous pouvez le créer vous-même ci-dessous
1.2 Création de son autorité propre pour la certification (cacert.pem)
============================================
/System/Library/OpenSSL/misc/CA.pl -newca
PEM:UneAutreClefCompliquée -> Attention il faudra vous souvenir de cette clef
Vous trouverez le certificat de l'autorité de certification dans le dossier demoCA, il s'agit du fichier cacert.pem.
Il faut le copier dans un fichier nommé private_ca.crt, c'est en fait la clef publique de l'autorité de certification.
1.3 Création de son propre certificat
===========================================
/System/Library/OpenSSL/misc/CA.pl -signreq
Il faut utiliser le PEM du certificat et on obtient un fichier newcert.pem qui est le certificat pour notre serveur. Il faut le copier dans un fichier nommé private_server.crt
1.4 Mise en place des certificats
===========================================
Les fichiers private_server.cert et private_ca.crt sont copiés sous /etc/httpd/ssl.crt/ et le fichier private_server.key sous /etc/httpd/ssl.key/
1.5 Activation de ssl dans l'outil adminserver
===========================================
Il faut aller dans l'onglet Site -> sécurité et activer SSL avec le PEM de notre certificat et changer le port en 443. Il faut aussi valider les choix de certificats dans l'onglet sécurité et valider les private_xyz
Abracadabra ! les données sont désormais sécurisées
1. La création de certificat permet de sécurisé des accès à internet.
===========================================
J'ai choisi de nommer mes certificats privé par "private_" suivi des noms de fichier commun, ceci afin d'éviter tout malentendu si nous achetons de "vrai" certificats.
Attention, toutes les commandes ci-après doivent être introduite dans un shell (outil terminal sur OS X) et vous devez avoir les droits root.
1.1 Création de la demande de certificat (fichiers server.key & newreq.pem)
===========================================
Ce fichier contient une RSA PRIVATE KEY du serveur + la demande de certificat
/System/Library/OpenSSL/misc/CA.pl -newreq
Il vous sera demandé une clef que vous devez choisir compliquée, cette clef vous sera demandée ultérieurement.
PEM: VotreClefCompliquée -> Attention il faudra vous souvenir de cette clef pour la configuration du serveur
Common Name: secure.fri-tic.ch -> c'est le nom de votre serveur, en fait le nom du domaine sécurisé de votre serveur
Challenge Password: VotreChallengePassword -> à conserver aussi
Vous obtenez un fichier server.key, il faut copier le fichier dans le fichier private_server.key et effacer la partie certificat et ne conserver que la partie RSA PRIVATE KEY, ceci au moyen d'un éditeur de texte. Ce sera la clef privée de votre serveur.
Si vous désirez une certification officielle, vous devez envoyer le fichier newreq.pem à une autorité de certification, sinon vous pouvez le créer vous-même ci-dessous
1.2 Création de son autorité propre pour la certification (cacert.pem)
============================================
/System/Library/OpenSSL/misc/CA.pl -newca
PEM:UneAutreClefCompliquée -> Attention il faudra vous souvenir de cette clef
Vous trouverez le certificat de l'autorité de certification dans le dossier demoCA, il s'agit du fichier cacert.pem.
Il faut le copier dans un fichier nommé private_ca.crt, c'est en fait la clef publique de l'autorité de certification.
1.3 Création de son propre certificat
===========================================
/System/Library/OpenSSL/misc/CA.pl -signreq
Il faut utiliser le PEM du certificat et on obtient un fichier newcert.pem qui est le certificat pour notre serveur. Il faut le copier dans un fichier nommé private_server.crt
1.4 Mise en place des certificats
===========================================
Les fichiers private_server.cert et private_ca.crt sont copiés sous /etc/httpd/ssl.crt/ et le fichier private_server.key sous /etc/httpd/ssl.key/
1.5 Activation de ssl dans l'outil adminserver
===========================================
Il faut aller dans l'onglet Site -> sécurité et activer SSL avec le PEM de notre certificat et changer le port en 443. Il faut aussi valider les choix de certificats dans l'onglet sécurité et valider les private_xyz
Abracadabra ! les données sont désormais sécurisées
