Guide pratique des certificats SSL: Version fran�aise du SSL Certificates HOWTO | ||
---|---|---|
Pr�c�dent | Chapitre 2. Gestion des certificats | Suivant |
La commande suivante cr�e un certificat auto-sign� (pour une autorit� de certification donc).
CA.pl -newcert openssl req -config /etc/openssl.cnf -new -x509 -keyout newreq.pem \ -out newreq.pem -days 365 |
Le nouveau certificat se trouve dans le fichier newreq.pem. Utilisez un CN du type ��ACME root Certificate��. Le fichier est � diviser en deux parties, cacert.pem et private/cakey.pem. La partie d�limit�e par -RSA PRIVATE KEY- va dans le fichier private/cakey.pem tandis que la partie -CERTIFICATE- est destin�e au fichier cacert.pem. Supprimez newreq.pem une fois l'op�ration effectu�e.
V�rifiez � pr�sent que le fichier index.txt est vide et que le fichier serial contient la valeur 01.
Afin de ne pas avoir � renouveler tous les certificats �mis par une AC lorsque son certificat racine expire, il est souhaitable d'augmenter la dur�e de vie de ce dernier. Les autorit�s de certification commerciales emploient des dur�es de 5 � 10 ans.
openssl req -config /etc/openssl.cnf -new -x509 -keyout private/cakey.pem \ -out cacert.pem -days 3650 |
La commande pr�c�dente est plus efficace que ��CA.pl�-newcert�� car elle place les fichiers cr��s � l'emplacement souhait� et g�n�re une AC racine valable 10 ans.
Il reste � s'assurer que le certificat auto-sign� racine n'est employ� que pour signer des certificats. La confidentialit� de la clef priv�e est tr�s importante. Ne la compromettez jamais en �tant le mot de passe. On peut envisager de la ranger sur un support amovible et de n'y acc�der qu'en cas de besoin. Si la machine est compromise, la clef priv�e est ailleurs.
On dispose maintenant d'une autorit� de certification racine. Les utilisateurs doivent faire confiance � votre certificat de CA et donc le r�cup�rer et le charger dans leurs navigateurs.
Il faudra renseigner le mot de passe lors de la signature de chaque certificat.
Pr�c�dent | Sommaire | Suivant |
Installation | Niveau sup�rieur | Cr�ation d'une autorit� de certification non-racine |
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:21