Re: Certificats SSL

To: "Johan Dindaine" <jojolapin972@gmail.com>
Cc: debian-user-french@lists.debian.org
Subject: Re: Certificats SSL
From: "Kevin Hinault" <hinault@gmail.com>
Date: Wed, 3 Dec 2008 16:27:04 +0100
Message-id: <[🔎] ecd2a87a0812030727g59e914eav31e680d930cd5c4e@mail.gmail.com>
In-reply-to: <[🔎] e5d23c8f0812030652x25c43debudf5b720cf1826695@mail.gmail.com>
References: <[🔎] e5d23c8f0812030652x25c43debudf5b720cf1826695@mail.gmail.com>

Le 3 décembre 2008 15:52, Johan Dindaine <jojolapin972@gmail.com> a écrit :
> Bonjour,
> J'ai plusieurs site sur le meme serveur et je voudrais en mettre quelques
> disponibles en HTTPS.
>
> J'ai donc créé un certificat privé pr le serveur
> openssl genrsa -out cleeprivee.key 1024
>
> et créer deux clées pour mes sites
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site1.crt
> openssl req -new -x509 -days 365 -key cleeprivee.key -out site2.crt

Oula ...

Reprenons les bases de l'architecture des certificats x509 avec clé
asymétrique :

1 / Un duo de clé est unique et asymétrique : une clé privé correspond
à une seule clé publique. Elle sont associée l'une à l'autre. Le
certificat x509 est considéré comme la clé publique.
2 / Des clés asymétriques sont générées en même temps !
3 / La hiérachie x509 oblige un certificat "client" ou "serveur" à
être absolument signé par une autorité de certification.
4 / Une autorité de certification (CA) est la seule capable d'avoir un
certificat auto-signé.
5 / La CA a aussi deux certificats x509. Elle ne te fournit que sa clé
publique. La clé privée ...est privée.

Ici je plusieurs problèmes :
1 / Il te manque une autorité de certification
2 / Tu fais des "req" soit des requete et non des sign donc tes req
sont non signés et ce ne sont donc pas des certificats x509
utilisables
3 / Tu tentes d'associer toi même tes requêtes à une clé privé.
Celle-ci ne sera pas "associée" a ta clé publique que tu crée. Des
clés asymétriques sont générés en même temps.
4 / Dans ta conf apache tu devras donner le certificat publique de la
ca et pour chaque virtualhost, le certificat privé et le certificat
publique de celui-ci.

Je simplifie a l'extrême openssl là ... Si tu veux vraiment utiliser
des vrais certificats il te faudra manger le man de openssl qui est
une vraie encyclopédie ou alors utiliser des outils de pki (public key
infrastructure) :

- OpenCA : complexe et pas forcement utile si tu veux juste deux certificats.
- Easy-rsa : simple et rapide à utiliser pour générer des certificats
propres. Cet outil est installé par défaut avec openvpn et se trouve
dans /usr/share/doc/openvpn/examples/easy-rsa. C'est en fait une
collection de scripts qui lance des commandes openssl. Tu peux
facilement t'en inspirer

;)

-- 
Vous aimez la bretagne ?
Breizh da viken : www.pointbzh.com

Reply to:

Follow-Ups:
- Re: Certificats SSL
  - From: Yves Rutschle <debian.anti-spam@rutschle.net>

References:
- Certificats SSL
  - From: "Johan Dindaine" <jojolapin972@gmail.com>

Prev by Date: Re: Certificats SSL
Next by Date: Re: probleme disque dur
Previous by thread: Re: Certificats SSL
Next by thread: Re: Certificats SSL
Index(es):
- Date
- Thread