Utilisation d'un certificat CACert

Ce guide a pour but de vous aider pour utiliser un certificat venant de chez CACert sur une Debian. Cela permet notamment de faire du HTTPS, du SSL, etc..

Création du certificat

On commence par installer le paquet ca-certificates

sudo apttitude install ca-certificates

Ensuite on s'inscrit sur le site http://www.cacert.org. Suivre toute la procédure de validation, et validez notamment vos domaines pour pouvoir créer des certificats pour ceux-ci.

Sur le serveur, générer une clé sécurisée :

sudo openssl genrsa -aes256 -out /etc/nginx/certs/secure.pem 4096

Une passphrase vous sera demandée, il faut la conserver en lieu sur.

On supprime maitenant la passphrase de la clé, pour pouvoir utiliser la clé sans retaper la passphrase à chaque redémarrage :

sudo openssl rsa -in /etc/nginx/certs/secure.pem -out /etc/nginx/certs/key.pem

Pour chaque sous domaine, il faut maintenant créer une demande de certificat serveur :

sudo openssl req -sha256 -new -key /etc/nginx/certs/key.pem -out /etc/nginx/certs/<votre domaine>.csr

Remplir les champs suivants :

Country Name (2 letter code) [AU]: FR
State or Province Name (full name) [Some-State]: FRANCE
Locality Name (eg, city) []: VILLE
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Nom de votre site
Organizational Unit Name (eg, section) []: Nom de votre site
Common Name (e.g. server FQDN or YOUR name) []: <votre domaine> (www.mondomaine.fr, mail.mondomaine.fr ...)
Email Address []: un mail valide


A challenge password []: Laissez vide
An optional company name []: Laissez vide

On affiche maintenant la demande de certificat

sudo cat /etc/nginx/certs/<votre domaine>.csr

Votre clé de demande de certificat s'affiche.
Faire maintenant la demande de certificat serveur chez CaCert, et copier la clé précédemment affichée.
Vous obtenez alors une nouvelle clé qui correspond à votre certificat.

Créer le fichier .pem correspondant à votre domaine

sudo nano /etc/nginx/certs/<votre domaine>.pem

Faire un copier coller de la clé nouvellement obtenue et enregistrer le fichier.

Ajout des certificats racines

Pour être valide, votre certificat doit contenir les certificats racines de l'autorité de certification (ici CaCert).
Pour récupérer les certificats racines, il faut donc les télécharger chez CaCert

cd /etc/nginx/certs/
sudo wget https://www.cacert.org/certs/root.crt
sudo wget https://www.cacert.org/certs/class3.crt

On crée maintenant un fichier qui regroupe le certificat racine, le certificat classe 3, ainsi que le certificat pour votre sous domaine

cat <votre domaine>.pem root.crt class3.crt > <votre domaine>_chain.pem

Exemple dans Nginx

Pour utiliser votre certificat dans Nginx, il suffit maintenant de rajouter les chemins vers le certificat ainsi que la clé.

  ssl_certificate /etc/nginx/certs/<votre domaine>_chain.pem;
  ssl_certificate_key /etc/nginx/certs/key.pem;

Voir aussi

Références

Liens externes

  • Partager le signet (social bookmarking)
  • Partager "Utilisation d'un certificat CACert" sur del.icio.us
  • Partager "Utilisation d'un certificat CACert" sur Digg
  • Partager "Utilisation d'un certificat CACert" sur blogmarks
  • Partager "Utilisation d'un certificat CACert" sur Google
  • Partager "Utilisation d'un certificat CACert" sur Facebook
  • Partager "Utilisation d'un certificat CACert" sur Twitter