Création d’un root CA sous OpenSSL

Création d’un CA avec OpenSSL

OpenSSL est disponible de façon native sur la plupart des systèmes, mais si ce n’est pas le cas sur le votre voici la ligne de commande d’installation.

On va utiliser le répertoire /etc/pki/openssl pour stocker les clés et certificat. Nous utiliserons également un fichier index.txt et un fichier serial qui serviront de base de données afin de garder une trace de toutes les clés et certificat créés.

On commence par créer le répertoire

Vérifier que le répertoire est correctement défini dans le fichier de configuration de OpenSSL /etc/ssl/openssl.cnf dans la section [ CA_default ]

On créé une structure de dossier

On créé maintenant la clé privé du certificat racine (CA). Cette clé doit être correctement protégée.

Il vous sera demandé de saisir une passphrase pour la clé privé.

Modifier les ACL de façon a ce que seul root est un accès en lecture sur la clé

Editez le fichier /etc/ssl/openssl.cnf et vérifiez que les sections [ usr_cert ] et [ v3_ca ] contiennt les options suivantes

 

On va à présent créer un certificat à partir de la clé privé. Ce certificat utilise l’extension v3_ca. Vous aurez à saisir certaine information qui caractérise le certificat comme défnie par le standard x.509.

Attention, le SHA-1 est considéré comme insécurisé, vous devez préciser l’utilisation du SHA-256 dans votre ligne de commande comme suit

Comme pour la clé privé, on modifie les droits sur le fichier

Vous avez à présent une clé privé (ca.key.pem) et un certificat racine (ca.cert.pem). Vous pouvez maintenant passer à la suite et créer une certificat intermédiaire ou directement passer à la création d’un certificat client ou apprendre à révoquer un certificat.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *