KB N°2723 : CRÉER UN CERTIFICAT POUR LE DÉCHIFFREMENT SSL SOUS MS WINDOWS
Comment créer des certificats auto-signés avec l’outil XCA afin de les mettre en place sur l’Olfeo pour le déchiffrement SSL.
Objectif
Créer les certificats nécessaires au fonctionnement du composant déchiffrement SSL, sous Windows.
ÉTAPES
- Téléchargez et installez l’outil XCA : https://sourceforge.net/projects/xca/files/xca/1.3.2/setup_xca-1.3.2.exe/download.
- Une fois l’outil installé, lancez-le :
- Créez une base de données : Fichier > Nouvelle base de données.
- Créez votre certificat : Certificats > Nouveau Certificat.
- Dans l’onglet Source, sélectionnez l’algorithme de signature souhaité (valeur recommandée : SHA 256) :
- Dans l’onglet Sujet, renseignez les informations du certificat, puis cliquez sur Générer une nouvelle clé :
- Dans l’onglet Extensions, définissez la date de validité du certificat, ainsi que le type Autorité de certification :
- Cliquez sur OK.
NB : Nous attirons votre attention sur les limitations fixées par Apple pour MacOS et iOS : la durée de validité d’un certificat doit être inférieure à 825 jours.
- Exportez le certificat ainsi que sa clé : dans l’onglet Certificats, sélectionnez le certificat, puis cliquez sur Exporter. Conservez les options par défaut et cliquez sur OK :
- Dans l’onglet Clés privées, effectuez la même opération :
Les fichiers ont été créés dans le répertoire C:\Program Files (x86)\xca :
- Pour une Olfeo v5, transférez le certificat ainsi que la clé vers l’Olfeo via SCP :
Pour une Olfeo v6, le certificat est importé via l’interface d’administration.
- Exportez le certificat au format DER pour les postes clients :
- Importez-le dans le navigateur :Firefox : Attention à bien sélectionner l’onglet Autorités :
Cochez ensuite Confirmer cette AC pour identifier des sites web.
Internet Explorer : Outils > Options Internet > Contenu > Certificats, puis onglet Autorités de certification de confiance :
VALIDATION
Lancez Internet Explorer ou Firefox, puis connectez-vous sur un site en HTTPS. Dans les access.log, on constate un accès sur le site en HTTPS avec un CONNECT, suivi du même site avec un GET :