[CERT] Certificat signé par autorité
|
23-05-2014, 14h58
(Modification du message : 23-05-2014, 18h17 par supersnail.)
Message : #1
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 204 Inscription : Mar 2013 |
[CERT] Certificat signé par autorité
Bonjour,
Suite des histoire de comment créer des certif. Pour ce cas nous allons le faire signer par une autorité. Objet Cette procédure décrit la marche à suivre pour commander et installer un certificat SSL - c'est-à -dire permettant de se connecter à un site en HTTPS sans avoir le message d'avertissement relatif au certificat. Acheter le certificat Il faut quelqu'un disposant d'une carte bleue. Donc demander à son chef (s'il en a une), ou bien à la personne qui fait l'administratif genre papa maman ou alors la vôtre.. . Cette personne doit : - Aller sur sur un site ou l'on peut acheter des certif (ex: https://www.thesslstore.com/) - choisir SSL Certificat ou SSL Wildcard Certificat ou ce que vous avez besoins - Ensuite sur la page suivante, choisir le nombre d'années voulu, puis Add To Card. - Puis Place Order en ayant vérifié les si les informations sont correct. - Et enfin Complete Order La procédure est la suivante : Sur le serveur Web, il faut générer la clé secrète du serveur ; cette clé, comme son nom l'indique, est secrète. Il ne faudra pas la sortir du serveur, la copier dans un mail, un canal IRC, etc. ; pour la créer, c'est très simple. Par convention, tous les fichiers sont nommés selon le nom de domaine du certificat, en remplaçant l'étoile par un tiret de soulignement (afin d'éviter les erreurs de manipulation) ; ainsi, pour générer la clé pour le wildcard *.mon_domaine.com, on fera : Code : $ openssl genrsa -out _mon_domaine.com.key 2048 Code : $ openssl req -new -key _.mon_domaine.com.key -out _.mon_domaine.com.csr -subj '/CN=*.mon_domaine.com/C=FR/O=Nom de la boite par exemple/' On arrive sur la page demandant la CSR. On peut la copier-coller (la CSR, contrairement à la clé, n'est pas secrète, et peut être librement diffusée sans aucun risque) dans le formulaire correspondant. La page suivante affiche les informations contenues dans la CSR. Il faut bien les vérifier 3 fois pour être sûr que le CN est bon (sinon, le certificat sera gâché). Si on s'est trompé, on peut cliquer sur « Replace CSR ». Si tout est bon, « Continue ». NB : les champs « Organizational Unit », « Locality » et « State » sont optionnels (et ne seront d'ailleurs même pas inclus dans le certificat final, donc ça n'est pas la peine de les inclure dans la CSR). La page suivante demande de saisir un contact administratif. Mettre son vrai prénom, son vrai nom ; comme mail, mettre le votre , et comme numéro de téléphone le votre aussi, le numéro doit être au format international (+33XXXXXXXXX). Pour le contact technique, cocher « Check here if same as Administrator Contact ». Sur la page suivante, il faut cocher une adresse valide et à laquelle on a accès. Les adresses proposées sont normalement : - les adresses présentes dans le whois , Dans la page suivante, vérifier une dernière fois toutes les informations ; cocher « I agree to this Subscriber Agreement » et valider. Un mail de validation est envoyé à l'adresse spécifiée plus haut. Il contient une URL de la forme https://products.geotrust.com/orders/App...=blablabla. Il faut aller à cette adresse, et cliquer sur « I approve ». Un mail de confirmation est alors envoyé à l'adresse que vous avez renseigné ; le certificat est situé à la fin du mail. Il suffit de copier-coller la partie depuis Code : -----BEGIN CERTIFICATE----- Installer le certificat Avant toute chose, protéger la clé, par exemple en faisant au moins un chown et un chmod 0600 sur le fichier .key. Si le programme demande deux fichiers séparés pour la clé et le certificat, on utilisera le fichier .key et le fichier .crt ; si le programme demande un seul fichier, il suffit de concaténer les deux : Code : $ cat www.mondomaine.com.key www.mondomaine.com.crt > www.mondomaine.com.pem Et voilou!!! Junky Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
23-05-2014, 18h17
Message : #2
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,613 Sujets : 72 Points: 466 Inscription : Jan 2012 |
RE: [CERT] Certificat signé par autorité
Sympa comme tuto (je me suis permis de corriger 2/3 fautes qui me faisaient saigner les yeux, j'espère que tu m'en voudras pas :þ)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
23-05-2014, 18h24
Message : #3
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 204 Inscription : Mar 2013 |
RE: [CERT] Certificat signé par autorité
Nan :p
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[CERT] Générer un certificat autosigné | Junky | 0 | 797 |
22-05-2014, 17h57 Dernier message: Junky |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)