{"id":1223,"date":"2011-06-16T12:10:32","date_gmt":"2011-06-16T10:10:32","guid":{"rendered":"http:\/\/www.laurentmarot.fr\/wordpress\/?p=1223"},"modified":"2015-08-20T08:08:14","modified_gmt":"2015-08-20T06:08:14","slug":"la-creation-des-certificats-avec-openssl-pour-web-securise","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=1223","title":{"rendered":"Web s\u00e9curis\u00e9 : cr\u00e9ation des certificats avec openSSL"},"content":{"rendered":"

Vous avez entendu parler de Firesheep<\/strong><\/em>, l’extension pour Firefox qui permet de collecter toutes les mots de passe de votre entourage sur les r\u00e9seaux WIFI ouverts ?<\/p>\n

Vous n’avez pas envie que votre site et ses utilisateurs en soient les prochaines victimes ? Une solution simple : s\u00e9curiser votre site avec SSL\/TLS\/HTTPs<\/strong>.<\/p>\n

Connectez-vous en tant que root<\/em> et allez dans le r\u00e9pertoire de configuration de votre serveur Apache2 (g\u00e9n\u00e9ralement \/etc\/apache2 mais on peut \u00e9videmment en choisir un autre) et cr\u00e9ez un r\u00e9pertoire appel\u00e9 ssl<\/em>. Vous vous placerez dans ce r\u00e9pertoire afin que les cl\u00e9s et les certificats soient cr\u00e9\u00e9s \u00e0 l’int\u00e9rieur avant d’effectuer les op\u00e9rations suivantes.<\/p>\n

\n

Cr\u00e9ation du certificat serveur<\/h3>\n

G\u00e9n\u00e9ration de la cl\u00e9 priv\u00e9e<\/strong><\/p>\n

On g\u00e9n\u00e8re la clef priv\u00e9e avec la commande suivante en d\u00e9finissant un nom de fichier :<\/p>\n

openssl genrsa 1024 > servwiki.key<\/span><\/pre>\n
<\/p>\n
La sortie attendue est la suivante :<\/p>\n
Generating RSA private key, 1024 bit long modulus\r\n ..................++++++\r\n .................................................................++++++\r\n e is 65537 (0x10001)<\/span><\/pre>\n
<\/p>\n
Si vous souhaitez que cette cl\u00e9 ait un mot de passe (qui vous sera demand\u00e9 \u00e0 chaque d\u00e9marrage d’apache, donc \u00e0 \u00e9viter !), ajoutez \u00ab\u00a0-des3<\/span>\u00a0\u00bb apr\u00e8s \u00ab\u00a0genrsa<\/span> \u00ab\u00a0.<\/p>\n
Ceci a pour effet de cr\u00e9er votre cl\u00e9 priv\u00e9e<\/strong> pour SSL [1<\/a>]<\/sup>, ne la perdez pas (ni le mot de passe \u00e9ventuel) !<\/p>\n
Vous pouvez observer son contenu :<\/p>\n
less servwiki.key\r\n-----BEGIN RSA PRIVATE KEY-----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\r\n2LImp\/3YnXNJ9qpY91j87tKthh\/Oetu6SHlmLg1LOYNIdw==\r\n-----END RSA PRIVATE KEY-----<\/span><\/pre>\n
<\/p>\n
Prot\u00e9gez votre fichier en faisant : chmod 400 servwiki.key<\/span><\/p>\n
De multiples autres options sont possibles mais il est inutile d’alourdir le sujet<\/p>\n
A partir de votre cl\u00e9, vous allez maintenant cr\u00e9er un fichier de demande de signature de certificat (CSR[2<\/a>]<\/sup>).<\/strong><\/p>\n
On g\u00e9n\u00e8re la demande de certificat avec la commande suivante :<\/p>\n
openssl req -new -key servwiki.key > servwiki.csr<\/span><\/pre>\n
<\/p>\n
Le syst\u00e8me va vous demander de saisir des champs ; remplissez-les en adaptant sauf le champ \u00ab\u00a0Common Name\u00a0\u00bb qui doit \u00eatre identique au nom d’h\u00f4te de votre serveur virtuel :<\/p>\n
Country Name (2 letter code) [AU]:FR\r\nState or Province Name (full name) [Some-State]:BRETAGNE\r\nLocality Name (eg, city) []:Sulniac\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Lostihuel Braz\r\nOrganizational Unit Name (eg, section) []:IT\r\nCommon Name (eg, YOUR name) []:www.laurentmarot.fr\r\nEmail Address []:<\/span><\/pre>\n
Ce n’est pas la peine de saisir d’autres extra attributes<\/em>…<\/p>\n
La commande pr\u00e9c\u00e9dente cr\u00e9e le formulaire de demande de certificat (fichier servwiki.csr) \u00e0 partir de la cl\u00e9 priv\u00e9e pr\u00e9alablement g\u00e9n\u00e9r\u00e9e.<\/p>\n
Ce fichier dont le contenu est visible ci-dessous contient la cl\u00e9 publique \u00e0 certifier<\/strong>.<\/p>\n
less servwiki.csr<\/span><\/pre>\n
-----BEGIN CERTIFICATE REQUEST-----\r\nMIIBsTCCARoCAQAwcTELMAkGA1UEBhMCRlIxFTATBgNVBAgTDENvcnNlIGR1IFN1\r\nZDEQMA4GA1UEBxMHQWphY2NpbzEMMAoGA1UEChMDTExCMREwDwYDVQQLEwhCVFMg\r\nSU5GTzEYMBYGA1UEAxMPcHJvZi5idHNpbmZvLmZyMIGfMA0GCSqGSIb3DQEBAQUA\r\nA4GNADCBiQKBgQDSUagxPSv3LtgDV5sygt12kSbN\/NWP0QUiPlksOkF2NkPfwW\/m\r\nf55dD1hSndlOM\/5kLbSBo5ieE3TgikF0IktjBWm5xSqewM5QDYzXFt031DrPX63F\r\nvo+tCKTQoVItdEuJPMahVsXnDyYHeUURRWLWwc0BzEgFZGGw7wiMF6wt5QIDAQAB\r\noAAwDQYJKoZIhvcNAQEEBQADgYEAwwI4UvkfhBvyRrUXtjrLfZXLxZlF9o+URmHJ\r\nysvrLKfesVBEzdA9mqk1OwIwLfe8Fw2fhip2LGqvcCPxDMoIE\/0cDkqGRg9iKp7D\r\nDMuy69lPTEB6UtpVKO\/1eage0oug6VqdfGAYMMSGyWFuO9FE4UE6HspVodb20wGV\r\n4H8qZuk=\r\n-----END CERTIFICATE REQUEST-----<\/span><\/pre>\n
<\/p>\n
Maintenant, deux choix s’offrent \u00e0 vous\u00a0:<\/p>\n
\n