preload preload preload preload

Générer un certificat x509 auto-signé


Le vendredi 04 mars 2011 par madpellzo Linux Aucun commentaire

Cette article explique comment générer votre propre certificat x509 auto-signé pour sécuriser les échange avec votre serveur web préféré par exemple.

Prérequis : openssl installé sur votre serveur.

1) Editer le fichier de configurarion de votre certificat

# vi /etc/ssl/monsite.cnf

[ req ]
default_bits            = 2048
default_keyfile         = privkey.pem
distinguished_name      = req_distinguished_name
prompt                  = no
string_mask             = nombstr
x509_extensions         = server_cert
 
[ req_distinguished_name ]
countryName             = FR
stateOrProvinceName     = France
localityName            = Rennes
organizationName        = Example
organizationalUnitName  = Mon Server
commonName              = www.monsite.fr    # IMPORTANT : doit être identique au nom du serveur appelé
                                            # Peut etre aussi *.monsite.fr
emailAddress            = postmaster@monsite.fr
 
[ server_cert ]
basicConstraints        = critical, CA:FALSE
subjectKeyIdentifier    = hash
keyUsage                = digitalSignature, keyEncipherment
extendedKeyUsage        = serverAuth, clientAuth
nsCertType              = server
nsComment               = "Web Server"

2) Générer votre paire de clé/certificat

# openssl req -x509 -new \
    -config /etc/ssl/monsite.cnf \
    -out /etc/ssl/certs/monsite.pem \
    -keyout /etc/ssl/private/monsite.key \
    -days 730 -nodes -batch

3) Intégrer votre paire de clé/certificat dans votre serveur web

    SSLEngine on
    SSLCertificateFile    /etc/ssl/certs/testosa.pem
    SSLCertificateKeyFile /etc/ssl/private/testosa.key

Mots clés : ssl, x509