CACert » Historique » Version 5
Version 4 (Raphaël Durand, 04/09/2013 22:25) → Version 5/23 (Raphaël Durand, 10/09/2013 23:41)
{{>toc}}
h1. CACert
h2. Verificateurs
https://www.ssllabs.com/ssltest/index.html (ne reconnait pas CAcert)
h2. openssl
Voici un tutorial pour fabriquer vos propres certificats CACert.
En prérequis, vous devez disposer d'un Compte CACert et avoir été assuré pour un minimum de 50
Pour créer le certificat, il faut lancer OpenSSL avec la commande suivante :
<pre>
openssl req -new ânodes -keyout server.key -out server.csr -config /etc/ssl/req.conf
</pre>
L'option -config permet d'appeller un fichier de configuration spécifique.
Voici le contenu de ce fichier de conf spécifique
/etc/ssl/cacert.conf
<pre>
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
req_extensions = req_ext # The extentions to add to the self signed cert
[ req_distinguished_name ]
commonName = Common Name (eg, YOUR name)
commonName_max = 64
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
subjectAltName=IP:192.168.7.1
DNS.1 = mail.exemple.com
DNS.2 = www.exemple.com
</pre>
Il contient uniquement les champs utiles pour CACert c'est à dire le Common Name (a remplir lors de la création du certificat) et les alt-names (a renseigner en dur dans le fichier de conf avant de lancer la création du certificat)
Le Common Name doit être un nom évocateur permettant d'évoquer immédiatement la fonction du certificat. (exemples : www.exemple.com pour le Web, mail.exemple.com pour les Mails,etc...)
Les SubjectAltName doivent contenir la liste exhaustive des sous-domaines à valider. Pour tout sous domaine non présent dans la liste, le serveur affichera une erreur de sécurité.
Une autre solution pour ne pas se retrouver avec des listes de sous-domaine à rallonge est d'utiliser les wildcard.
Vous pouvez ainsi entrer comme subjectAltName *.exemple.com qui couvrira tous les sous-domaines de 1er niveau comme mail.exemple ou www.exemple. Mais attention, les sous-domaines de second niveau comme cdn.www.exemple ne seront pas reconnus. Pour valider ce domaine, il faut utiliser le wildcard suivant : *.*.exemple.com (et ainsi de suite si il existe d'autres niveaux).
Apache peut générer un avertissement qui doit être ignoré : [Tue Sep 10 18:31:14 2013] [warn] RSA server certificate CommonName (CN) `www.ultrawaves.fr' does NOT match server name!?
(message obsolète : Apache ne sait pas lire les Subject Alt-Name)
h1. CACert
h2. Verificateurs
https://www.ssllabs.com/ssltest/index.html (ne reconnait pas CAcert)
h2. openssl
Voici un tutorial pour fabriquer vos propres certificats CACert.
En prérequis, vous devez disposer d'un Compte CACert et avoir été assuré pour un minimum de 50
Pour créer le certificat, il faut lancer OpenSSL avec la commande suivante :
<pre>
openssl req -new ânodes -keyout server.key -out server.csr -config /etc/ssl/req.conf
</pre>
L'option -config permet d'appeller un fichier de configuration spécifique.
Voici le contenu de ce fichier de conf spécifique
/etc/ssl/cacert.conf
<pre>
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
req_extensions = req_ext # The extentions to add to the self signed cert
[ req_distinguished_name ]
commonName = Common Name (eg, YOUR name)
commonName_max = 64
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
subjectAltName=IP:192.168.7.1
DNS.1 = mail.exemple.com
DNS.2 = www.exemple.com
</pre>
Il contient uniquement les champs utiles pour CACert c'est à dire le Common Name (a remplir lors de la création du certificat) et les alt-names (a renseigner en dur dans le fichier de conf avant de lancer la création du certificat)
Le Common Name doit être un nom évocateur permettant d'évoquer immédiatement la fonction du certificat. (exemples : www.exemple.com pour le Web, mail.exemple.com pour les Mails,etc...)
Les SubjectAltName doivent contenir la liste exhaustive des sous-domaines à valider. Pour tout sous domaine non présent dans la liste, le serveur affichera une erreur de sécurité.
Une autre solution pour ne pas se retrouver avec des listes de sous-domaine à rallonge est d'utiliser les wildcard.
Vous pouvez ainsi entrer comme subjectAltName *.exemple.com qui couvrira tous les sous-domaines de 1er niveau comme mail.exemple ou www.exemple. Mais attention, les sous-domaines de second niveau comme cdn.www.exemple ne seront pas reconnus. Pour valider ce domaine, il faut utiliser le wildcard suivant : *.*.exemple.com (et ainsi de suite si il existe d'autres niveaux).
Apache peut générer un avertissement qui doit être ignoré : [Tue Sep 10 18:31:14 2013] [warn] RSA server certificate CommonName (CN) `www.ultrawaves.fr' does NOT match server name!?
(message obsolète : Apache ne sait pas lire les Subject Alt-Name)