http://www.minetti.org/mediawiki/index.php?action=history&feed=atom&title=Commandes%3AG%C3%A9n%C3%A9ration_de_certificats_SSL_client 2026-05-04T13:04:00Z Historique pour cette page sur le wiki MediaWiki 1.26.2 http://www.minetti.org/mediawiki/index.php?title=Commandes:G%C3%A9n%C3%A9ration_de_certificats_SSL_client&diff=154&oldid=prev 2016-04-07T19:12:52Z

<p>Page créée avec « == But == Créer un certificat x509 pour une application cliente. == Étape préliminaire == Avant de pouvoir générer des certificats et dans le cas ou vous ne désirez... »</p> <p><b>Nouvelle page</b></p><div>== But ==<br /> Créer un certificat x509 pour une application cliente.<br /> <br /> == Étape préliminaire ==<br /> Avant de pouvoir générer des certificats et dans le cas ou vous ne désirez pas faire signer vos certificats pas une autorité de certification reconnue (comme Verisign), il est impératif de disposer d'au moins un certificat pour notre autorité de certification (CA). Si cela, n'a pas déjà été fait, reportez-vous à la [[Commandes:Génération d'un certificat SSL de l'autorité de certification|génération du certificat de l'autorité de certification]].<br /> <br /> == Création d'une demande de certificat ==<br /> * Se placer dans le répertoire '''/etc/pki/CA''' sous CentOS/RedHat/Fedora et '''/etc/ssl''' sous ubuntu:<br /> * La première étape consiste à générer un couple clé privée/clé publique pour le certificat:<br /> openssl genrsa -out private/amon-pw.key -des3 1024<br /> <br /> Generating RSA private key, 1024 bit long modulus<br /> ..........++++++<br /> ..........................................++++++<br /> e is 65537 (0x10001)<br /> Enter pass phrase for amon-pw.key:<br /> Verifying - Enter pass phrase for amon-pw.key:<br /> * Pour éviter que l'application cliente soit obligé de demander la passphrase au démarrage, enlever la du certificat:<br /> openssl rsa -in private/amon-pw.key -out private/amon.key<br /> rm private/amon-pw.key<br /> * La seconde étape consiste à créer la demande de certificat en y intégrant notre couple clé privée/clé publique:<br /> openssl req -new -key private/amon.key -out amon.req<br /> <br /> You are about to be asked to enter information that will be incorporated<br /> into your certificate request.<br /> What you are about to enter is what is called a Distinguished Name or a DN.<br /> There are quite a few fields but you can leave some blank<br /> For some fields there will be a default value,<br /> If you enter '.', the field will be left blank.<br /> -----<br /> Country Name (2 letter code) [FR]:<br /> State or Province Name (full name) [Herault]:<br /> Locality Name (eg, city) [Saint-Jean-de-Védas]:<br /> Organization Name (eg, company) [Minetti]:<br /> Organizational Unit Name (eg, section) []:Client<br /> Common Name (eg, your name or your server's hostname) []:amon.srv.minetti.org<br /> Email Address []:root@minetti.org<br /> <br /> Please enter the following 'extra' attributes<br /> to be sent with your certificate request<br /> A challenge password []:<br /> An optional company name []:<br /> On obtient le fichier '''amon.req''' qu'on envoi à l'autorité de certification pour être signé.<br /> <br /> Reportez-vous au chapitre [[Commandes:Gestion des certificats par l'autorité de certification#Signature d'un certificat|Gestion des certificats par l'autorité de certification]] pour procéder à la signature du certificat.<br /> <br /> == Réception du certificat signé ==<br /> Placer le nouveau certificat x509 signé dans '''/etc/pki/tls''' et restreindre son accès:<br /> chown root.ldap certs/amon.pem<br /> chmod 640 certs/amon.pem<br /> <br /> == Renouvellement d'une demande de certificat ==<br /> Le renouvellement s'obtient en créant une nouvelle demande de certificat à partir de l'actuel certificat:<br /> openssl x509 -x509toreq -in certs/amon.pem -signkey private/amon.key -out amon.req<br /> On obtient le fichier '''amon.req''' qu'on envoi à l'autorité de certification pour être signé.<br /> <br /> Reportez-vous au chapitre [[Commandes:Gestion des certificats par l'autorité de certification#Signature d'un certificat|Gestion des certificats par l'autorité de certification]] pour procéder à la signature du certificat.<br /> <br /> == Intégration d'une paire de clé dans un keystore Java ==<br /> Pour intégrer un certificat avec sa clé privé dans un keystore Java, il faut commencer par créer un fichier au format PKCS12:<br /> openssl pkcs12 -export -inkey certificat.key -in certificat.pem -out certificat.p12 -name &quot;mon certificat&quot;<br /> <br /> Ensuite, il n'y a plus qu'a l'importer dans le keystore Java:<br /> keytool -importkeystore -srckeystore certificat.p12 -srcstoretype PKCS12 -srcstorepass minetti -destkeystore minetti.jks -deststoretype JKS -deststorepass minetti<br /> <br /> == Quelques commandes utiles ==<br /> Pour créer un fichier au format PKCS12 (export):<br /> openssl pkcs12 -export -inkey certificat.key -in certificat.pem -out certificat.p12 -name &quot;mon certificat&quot;<br /> <br /> Pour extraire un certificat d'un fichier au format PKCS12:<br /> openssl pkcs12 -in certificat.p12 -out certificat.pem -nokeys -clcerts<br /> <br /> Pour extraire les clés d'un fichier au format PKCS12:<br /> openssl pkcs12 -in certificat.p12 -out certificat.key -nocerts -nodes<br /> <br /> Pour visualiser le contenu d'un certificat:<br /> openssl x509 -purpose -in certificat.pem -text -noout<br /> <br /> Pour visualiser le sujet d'un certificat:<br /> openssl x509 -subject -in certificat.pem -noout<br /> <br /> Pour visualiser l'adresse e-mail du propriétaire d'un certificat:<br /> openssl x509 -email -in certificat.pem -noout</div>

Jp