How to
KB N°2723

Créer un certificat pour le déchiffrement SSL sous Linux

Versions: V.5.x V6.x
Publié le jeudi 17 mars 2016
Modifié le mardi 6 octobre 2020

Comment créer des certificats auto-signés avec l'outil XCA afin de les mettre en place sur l'Olfeo pour le déchiffrement SSL.

Objectif

 

Créer les certificats nécessaires au fonctionnement du composant déchiffrement SSL, sous Linux.

 

Étapes

  1. Exécutez la commande suivante afin de créer un certificat autosigné valable, par exemple, 365 jours :
    openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout myKey.pem -out myCA.pem

    NB : Nous attirons votre attention sur les limitations fixées par Apple pour MacOS et iOS : la durée de validité d'un certificat doit être inférieure à 825 jours.
    source : https://support.apple.com/en-us/HT210176
     
  2. Explications sur ces différentes options :
    • La commande req créée et traite les requêtes liées aux certificats.
    • Le paramètre -new correspond à une demande de création d’un nouveau certificat. Il sera alors demandé à l’utilisateur de fournir les valeurs de champs nécessaires.
    • Le paramètre -newkey crée une nouvelle demande de certificat et une nouvelle clé privée. Elle est associée à la valeur rsa:2048 qui correspond à la taille de la clé privée.
    • Lorsque l’option -x509 est utilisée, le paramètre -days spécifie le nombre de jours pour lequel le certificat sera certifié.
    • Le paramètre -node permet de ne pas encoder la clé privée.
    • Le paramètre -keyout permet d’indiquer le nom de fichier où la clé privée créée sera écrite
    • Le paramètre -out permet d’indiquer le nom du fichier où le certificat créé sera écrit.

      Pour les autres options, OpenSSL se repose sur les valeurs renseignées dans le fichier de configuration : /etc/ssl/openssl.cnf

      Par exemple l’algorithme de signature utilisé par défaut (sha256) est spécifié dans ce fichier de configuration :


       
  3. Lors de l’exécution de cette commande, l’administrateur doit fournir les informations qui seront reprises dans les caractéristiques du certificat généré :
    Country Name (2 letter code) [AU]:
    State or Province Name (full name) [Some-State]:
    Locality Name (eg, city) :
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:
    Organizational Unit Name (eg, section) :
    Common Name (eg, YOUR name) :
    Email Address []:


    Exemple : 


    Voir la documentation complète OpenSSL : https://www.openssl.org/docs/man1.0.2/man1/openssl-req.html
     
  4. Rapatriez sur votre machine le certificat et la clé (fichiers *.pem) via WinSCP par exemple.

  5. Dans l'interface d'administration d'Olfeo, importez le certificat et la clé dans la configuration du déchiffrement SSL

  6. Du côté des postes client, importez le certificat dans les magasins de certificats. Cette opération peut être réalisée par GPO ou localement :

    Firefox : Attention à bien sélectionner l'onglet Autorités :

    Cochez ensuite Confirmer cette AC pour identifier des sites web.

    Internet Explorer / Chrome / Edge : Outils > Options Internet > Contenu > Certificats, puis onglet Autorités de certification de confiance :

 

 

Validation

Lancez Internet Explorer ou Firefox, puis connectez-vous sur un site en HTTPS. Dans les access.log, on constate un accès sur le site en HTTPS avec un CONNECT, suivi du même site avec un GET :

 

 

Avez-vous trouvé cet article utile ?
Revenir à la liste des articles
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok