Certificats SSL Web

De NCad Wiki
Aller à la navigation Aller à la recherche

Serveur Web

Installation d'Apache2 Paramétrage courant

Certificats SSL Web | .htaccess | Authentification par carte à puce


Archives : Ancien article sur Apache2 | Module Whois | ProFTPd


Note de version

Architecture & Organisation

  • Les certificats pour les sites web nécessitant une connexion SSL sont stockés dans le répertoire :
/etc/ssl/private
  • Et sont nommés tel que définit :
    • domaine.tld.key : fichier de clé privé pour le site exemple.
    • domaine.tld.csr : fichier de demande de certificat pour le site exemple.
    • domaine.tld.crt : certificat SSL pour le site exemple.


  • Le cas échéant, le programme certbot sera utilisé pour générer des certificats Let's Encrypt.

Générer une demande de certificat

Pour quel(s) usage(s) ?

Si vous souhaiter :

  • Acheter un certificat auprès d'un fournisseur de certificat agréé par une Autorité Racine de confiance.
  • Générer un certificat auprès d'une Autorité de Certification interne (celle de votre entreprise).

Vous devrez alors procéder à la génération d'un fichier de demande de certificat (fichier .csr).

Ce fichier sera demandé par l'Autorité de Certification pour pouvoir générer le certificat signé.

Procéder à la génération de la demande de certificat

  • Depuis la racine /etc/ssl/private, créer le fichier demande_domaine.tld.txt et y insérer / adapter les éléments suivants :
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[dn]
C=FR
ST=REGION
L=VILLE
O=SOCIETE
OU=SERVICE
emailAddress=support@domaine.tld
CN = domaine.tld

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = domaine.tld
DNS.2 = www.domaine.tld
IP.1 = <@IP_PUBLIQUE>
  • Depuis ce même dossier, procéder à la génération de la demande de certificat au format de fichier .csr :

root@apache2:~# openssl req -sha256 -nodes -newkey rsa:2048 -keyout domaine.tld.key -out domaine.tld.csr -config demande_domaine.tld.txt

  • Pour pouvoir être récupéré à l’aide d’un client SFTP, copier le fichier de demande dans le répertoire web de l’utilisateur puis autoriser l’accès en lecture+écriture pour tout le monde :

root@apache2:~# cp domaine.tld.csr /var/www/domaine.tld
root@apache2:~$ chmod 777 /var/www/domaine.tld.csr

  • Une fois le fichier de demande de certificat (.csr) récupéré, plusieurs options s'offrent à vous :
    • Si vous disposez d'une Autorité de Certification privée Microsoft, reportez-vous à la section Signer un certificat depuis l'AC Microsoft locale.
    • Si vous souhaitez acheter un certificat auprès d'un revendeur spécialisé, munissez-vous du présent fichier pour effectuer votre demande.