|
⇤ ← Version 1 à la date du 2004-06-24 21:39:57
Taille: 526
Commentaire:
|
Taille: 2334
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 4: | Ligne 4: |
| Le principe d'une connexion SSL repose sur la communication en système de paires de clés publique/privé [[FootNote(Voir aussi WikiInformatique)]] | Le principe d'une connexion SSL repose sur la communication en système de paires de clés publique/privé [[FootNote(Voir aussi WikiInformatique/ClésPgp)]].[[BR]] [[BlaBlaBla]] |
| Ligne 6: | Ligne 9: |
| {{{openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout /etc/ssl/certificats/private/cakey.pem -out /etc/ssl/certificats/cacert.pem -days 3650 -nodes }}} Crée la privée et la clé publique du certificat d'autorité. |
|
| Ligne 7: | Ligne 13: |
| {{{openssl x509 -in /etc/ssl/certificats/cacert.pem -out /etc/ssl/certificats/cacert.crt }}} Pour avoir le certificat à mettre à la disposition des navigateurs via http. i.e : /var/www/crans-certificat.crt |
|
| Ligne 10: | Ligne 20: |
| On crée une paire de clés (comprises dans le même fichier) : {{{openssl req -config /etc/ssl/openssl.cnf -new -keyout /etc/ssl/certificats/egon.pem -out /etc/ssl/certificats/egon.pem -days 365 -nodes }}} Pour egon par exemple. On la signe : {{{openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out /etc/ssl/certificats/egon_cert.pem -infiles /etc/ssl/certificats/egon.pem }}} Puis on crée le certificat associé : {{{openssl x509 -in /etc/ssl/certificats/egon_cert.pem -out /etc/ssl/certificats/egon_cert.crt }}} Reste à modifier le httpd.conf de apache-ssl de la manière suivante : {{{<VirtualHost 138.231.136.7:443> Port 443 SSLEnable DocumentRoot /var/www ServerName egon.crans.org SSLCertificateFile /etc/ssl/certificats/egon_cert.crt SSLCertificateKeyFile /etc/ssl/certificats/egon.pem SSLCacheServerPath /usr/lib/apache-ssl/gcache SSLCacheServerPort /var/run/gcache_port SSLSessionCacheTimeout 60 SSLVerifyClient 0 SSLVerifyDepth 10 SSLFakeBasicAuth CustomLog /var/log/apache-ssl/ssl.log "%t %{version}c %{cipher}c %{clientcert}c" </VirtualHost>}}} |
|
| Ligne 14: | Ligne 56: |
== Liens == * http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/ |
Gérer les certificats d'authentification SSL su CRANS
Afin de s'assurer la sécurité d'une communication sécurités, l'un ou l'autre des participants doivent pouvoir communiquer avec l'autre de façon sécurisée (cryptée).BR Le principe d'une connexion SSL repose sur la communication en système de paires de clés publique/privé FootNote(Voir aussi WikiInformatique/ClésPgp).BR
Le Certificat d'Autorité
{{{openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout /etc/ssl/certificats/private/cakey.pem -out /etc/ssl/certificats/cacert.pem -days 3650 -nodes }}} Crée la privée et la clé publique du certificat d'autorité.
{{{openssl x509 -in /etc/ssl/certificats/cacert.pem -out /etc/ssl/certificats/cacert.crt }}} Pour avoir le certificat à mettre à la disposition des navigateurs via http. i.e : /var/www/crans-certificat.crt
Pour les virtualhosts
On crée une paire de clés (comprises dans le même fichier) : {{{openssl req -config /etc/ssl/openssl.cnf -new -keyout /etc/ssl/certificats/egon.pem -out /etc/ssl/certificats/egon.pem -days 365 -nodes }}} Pour egon par exemple.
On la signe : {{{openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out /etc/ssl/certificats/egon_cert.pem -infiles /etc/ssl/certificats/egon.pem }}}
Puis on crée le certificat associé : {{{openssl x509 -in /etc/ssl/certificats/egon_cert.pem -out /etc/ssl/certificats/egon_cert.crt }}}
Reste à modifier le httpd.conf de apache-ssl de la manière suivante : {{{<VirtualHost 138.231.136.7:443>
- Port 443 SSLEnable
DocumentRoot /var/www ServerName egon.crans.org SSLCertificateFile /etc/ssl/certificats/egon_cert.crt SSLCertificateKeyFile /etc/ssl/certificats/egon.pem SSLCacheServerPath /usr/lib/apache-ssl/gcache SSLCacheServerPort /var/run/gcache_port SSLSessionCacheTimeout 60 SSLVerifyClient 0 SSLVerifyDepth 10 SSLFakeBasicAuth
CustomLog /var/log/apache-ssl/ssl.log "%t %{version}c %{cipher}c %{clientcert}c"
</VirtualHost>}}}
Pour le wifi
À voir
- Utilisation pour IMAP ??