Affichage hiérarchique

supersnail · (Modification du message : 23-05-2014, 18h17 par supersnail.)

Bonjour,

Suite des histoire de comment créer des certif. Pour ce cas nous allons le faire signer par une autorité.

Objet

Cette procédure décrit la marche à suivre pour commander et installer un certificat SSL - c'est-à-dire permettant de se connecter à un site en HTTPS sans avoir le message d'avertissement relatif au certificat.

Acheter le certificat

Il faut quelqu'un disposant d'une carte bleue. Donc demander à son chef (s'il en a une), ou bien à la personne qui fait l'administratif genre papa maman ou alors la vôtre.. Smile

. Cette personne doit :

- Aller sur sur un site ou l'on peut acheter des certif (ex: https://www.thesslstore.com/)
- choisir SSL Certificat ou SSL Wildcard Certificat ou ce que vous avez besoins
- Ensuite sur la page suivante, choisir le nombre d'années voulu, puis Add To Card.
- Puis Place Order en ayant vérifié les si les informations sont correct.
- Et enfin Complete Order

La procédure est la suivante :

Sur le serveur Web, il faut générer la clé secrète du serveur ; cette clé, comme son nom l'indique, est secrète. Il ne faudra pas la sortir du serveur, la copier dans un mail, un canal IRC, etc. ; pour la créer, c'est très simple. Par convention, tous les fichiers sont nommés selon le nom de domaine du certificat, en remplaçant l'étoile par un tiret de soulignement (afin d'éviter les erreurs de manipulation) ; ainsi, pour générer la clé pour le wildcard *.mon_domaine.com, on fera :

Code :
$ openssl genrsa -out _mon_domaine.com.key 2048

Ensuite, il faut générer la CSR (Certificate Signing Request, ou Demande de Signature de Certificat). La commande cabalistique est la suivante - attention, le CN doit être le nom de domaine choisi pour le certificat, le C correspond au pays (FR pour la France), et O correspond à la société ; on peut mettre "un peu ce que l'on veut" pour un certificat interne, ou bien le nom du client :

Code :
$ openssl req -new -key _.mon_domaine.com.key -out _.mon_domaine.com.csr -subj '/CN=*.mon_domaine.com/C=FR/O=Nom de la boite par exemple/'

Remplir le premier formulaire (cf: lien recu par mail. il n'y a a priori rien à faire ; par habitude, j'entre simplement « Nothing special. » dans le textarea « Special instructions »).

On arrive sur la page demandant la CSR. On peut la copier-coller (la CSR, contrairement à la clé, n'est pas secrète, et peut être librement diffusée sans aucun risque) dans le formulaire correspondant.

La page suivante affiche les informations contenues dans la CSR. Il faut bien les vérifier 3 fois pour être sûr que le CN est bon (sinon, le certificat sera gâché). Si on s'est trompé, on peut cliquer sur « Replace CSR ». Si tout est bon, « Continue ».
NB : les champs « Organizational Unit », « Locality » et « State » sont optionnels (et ne seront d'ailleurs même pas inclus dans le certificat final, donc ça n'est pas la peine de les inclure dans la CSR).

La page suivante demande de saisir un contact administratif. Mettre son vrai prénom, son vrai nom ; comme mail, mettre le votre , et comme numéro de téléphone le votre aussi, le numéro doit être au format international (+33XXXXXXXXX). Pour le contact technique, cocher « Check here if same as Administrator Contact ».

Sur la page suivante, il faut cocher une adresse valide et à laquelle on a accès. Les adresses proposées sont normalement :
- les adresses présentes dans le whois ,

Dans la page suivante, vérifier une dernière fois toutes les informations ; cocher « I agree to this Subscriber Agreement » et valider.

Un mail de validation est envoyé à l'adresse spécifiée plus haut. Il contient une URL de la forme https://products.geotrust.com/orders/App...=blablabla. Il faut aller à cette adresse, et cliquer sur « I approve ».

Un mail de confirmation est alors envoyé à l'adresse que vous avez renseigné ; le certificat est situé à la fin du mail. Il suffit de copier-coller la partie depuis

Code :
-----BEGIN CERTIFICATE----- 

jusqu'à 

-----END CERTIFICATE-----

(ces lignes inclues) dans un fichier - pour *.mon_domaine.com, le fichier sera ainsi _.mon_domaine.com.crt.

Installer le certificat

Avant toute chose, protéger la clé, par exemple en faisant au moins un chown et un chmod 0600 sur le fichier .key.

Si le programme demande deux fichiers séparés pour la clé et le certificat, on utilisera le fichier .key et le fichier .crt ; si le programme demande un seul fichier, il suffit de concaténer les deux :

Code :
$ cat www.mondomaine.com.key www.mondomaine.com.crt > www.mondomaine.com.pem

Le fichier résultant devra être traité comme étant aussi sensible que la clé secrète (puisqu'il contient la clé secrète).

Et voilou!!!

Junky

***supersnail*** · 23-05-2014, 18h17

Sympa comme tuto Smile

(je me suis permis de corriger 2/3 fautes qui me faisaient saigner les yeux, j'espère que tu m'en voudras pas :þ)

Junky · 23-05-2014, 18h24

Nan :p

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[CERT] Générer un certificat autosigné	Junky	0	799	22-05-2014, 17h57 Dernier message: Junky

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler