Version 8 - Historique - CACert - tetaneutral.net

CACert » Historique » Version 8

Matthieu Herrb, 13/02/2014 08:46
fixe la longueur de la clé générée

-Laurent GUERBY
+{{>toc}}
 Laurent GUERBY
-Raphaël Durand
+h1. CACert
 Raphaël Durand
-Laurent GUERBY
+h2. Verificateurs
 Raphaël Durand
-Raphaël Durand
+https://www.ssllabs.com/ssltest/index.html (ne reconnait pas CAcert)
 Laurent GUERBY
-Laurent GUERBY
+h2. openssl
 Raphaël Durand
-Raphaël Durand
+Voici un tutorial pour fabriquer vos propres certificats CACert.
-Matthieu Herrb
+En prérequis, vous devez disposer d'un Compte CACert et avoir été assuré pour un minimum de 50
 Raphaël Durand
-Matthieu Herrb
+Pour créer le certificat, il faut lancer OpenSSL avec la commande suivante :
-Raphaël Durand
+<pre>
-Matthieu Herrb
+openssl req -new –nodes -newkey rsa:2048 -keyout server.key -out server.csr -config /etc/ssl/req.conf
-Raphaël Durand
+</pre>
-Matthieu Herrb
+L'option -config permet d'appeller un fichier de configuration spécifique.
 Raphaël Durand
-Matthieu Herrb
+Voici le contenu de ce fichier de conf spécifique
-Raphaël Durand
+/etc/ssl/cacert.conf
-Raphaël Durand
+<pre>
-Raphaël Durand
+[ req ]
-Raphaël Durand
+default_bits        = 1024
-Raphaël Durand
+default_keyfile     = privkey.pem
-Raphaël Durand
+distinguished_name  = req_distinguished_name
-Raphaël Durand
+req_extensions     = req_ext # The extentions to add to the self signed cert
 Raphaël Durand
-Raphaël Durand
+[ req_distinguished_name ]
-Raphaël Durand
+commonName            = Common Name (eg, YOUR name)
-Raphaël Durand
+commonName_max        = 64
 Raphaël Durand
-Raphaël Durand
+[ req_ext ]
-Raphaël Durand
+subjectAltName          = @alt_names
 Raphaël Durand
-Raphaël Durand
+[alt_names]
-Raphaël Durand
+subjectAltName=IP:192.168.7.1
-Raphaël Durand
+DNS.1   = mail.exemple.com
-Raphaël Durand
+DNS.2   = www.exemple.com
-Raphaël Durand
+</pre>
 Raphaël Durand
-Matthieu Herrb
+Il contient uniquement les champs utiles pour CACert c'est à dire le Common Name (a remplir lors de la création du certificat) et les alt-names (a renseigner en dur dans le fichier de conf avant de lancer la création du certificat)
-Matthieu Herrb
+Le Common Name doit être un nom évocateur permettant d'évoquer immédiatement la fonction du certificat. (exemples : www.exemple.com pour le Web, mail.exemple.com pour les Mails,etc...)
-Matthieu Herrb
+Les SubjectAltName doivent contenir la liste exhaustive des sous-domaines à valider. Pour tout sous domaine non présent dans la liste, le serveur affichera une erreur de sécurité.
 Raphaël Durand
-Matthieu Herrb
+Voir aussi http://wiki.cacert.org/FAQ/subjectAltName
 Matthieu Herrb
-Matthieu Herrb
+Une autre solution pour ne pas se retrouver avec des listes de sous-domaine à rallonge est d'utiliser les wildcard.
-Raphaël Durand
+Vous pouvez ainsi entrer comme subjectAltName *.exemple.com qui couvrira tous les sous-domaines de 1er niveau comme mail.exemple ou www.exemple. Mais attention, les sous-domaines de second niveau comme cdn.www.exemple ne seront pas reconnus. Pour valider ce domaine, il faut utiliser le wildcard suivant : *.*.exemple.com (et ainsi de suite si il existe d'autres niveaux).
 Raphaël Durand
-Matthieu Herrb
+Apache peut générer un avertissement qui doit être ignoré : [Tue Sep 10 18:31:14 2013] [warn] RSA server certificate CommonName (CN) `www.ultrawaves.fr' does NOT match server name!?
-Matthieu Herrb
+(message obsolète : Apache ne sait pas lire les Subject Alt-Name)
 Raphaël Durand
-Raphaël Durand
+Une fois ceci fait vous disposez d'un fichier .key et d'un fichier .csr.
-Matthieu Herrb
+Le fichier .csr doit être envoyé à CACert via l'interface suivante

Projet

Général

Profil

CACert » Historique » Version 8