= Gérer les certificats d'authentification SSL su CRANS = Afin de s'assurer la sécurité d'une communication sécurités, l'un ou l'autre des participants doivent pouvoir communiquer avec l'autre de façon sécurisée (cryptée).[[BR]] Le principe d'une connexion SSL repose sur la communication en système de paires de clés publique/privé [[FootNote(Voir aussi WikiInformatique/ClésPgp)]].[[BR]] [[BlaBlaBla]] == Le Certificat d'Autorité == {{{openssl req -config /etc/ssl/openssl.cnf -new -x509 -keyout /etc/ssl/certificats/private/cakey.pem -out /etc/ssl/certificats/cacert.pem -days 3650 -nodes }}} Crée la privée et la clé publique du certificat d'autorité. {{{openssl x509 -in /etc/ssl/certificats/cacert.pem -out /etc/ssl/certificats/cacert.crt }}} Pour avoir le certificat à mettre à la disposition des navigateurs via http. i.e : /var/www/crans-certificat.crt == Pour les virtualhosts == On crée une paire de clés (comprises dans le même fichier) : {{{openssl req -config /etc/ssl/openssl.cnf -new -keyout /etc/ssl/certificats/egon.pem -out /etc/ssl/certificats/egon.pem -days 365 -nodes }}} Pour egon par exemple. On la signe : {{{openssl ca -config /etc/ssl/openssl.cnf -policy policy_anything -out /etc/ssl/certificats/egon_cert.pem -infiles /etc/ssl/certificats/egon.pem }}} Puis on crée le certificat associé : {{{openssl x509 -in /etc/ssl/certificats/egon_cert.pem -out /etc/ssl/certificats/egon_cert.crt }}} Reste à modifier le httpd.conf de apache-ssl de la manière suivante : {{{ Port 443 SSLEnable DocumentRoot /var/www ServerName egon.crans.org SSLCertificateFile /etc/ssl/certificats/egon_cert.crt SSLCertificateKeyFile /etc/ssl/certificats/egon.pem SSLCacheServerPath /usr/lib/apache-ssl/gcache SSLCacheServerPort /var/run/gcache_port SSLSessionCacheTimeout 60 SSLVerifyClient 0 SSLVerifyDepth 10 SSLFakeBasicAuth CustomLog /var/log/apache-ssl/ssl.log "%t %{version}c %{cipher}c %{clientcert}c" }}} == Pour le wifi == == À voir == * Utilisation pour IMAP ?? == Liens == * http://www.tldp.org/HOWTO/SSL-Certificates-HOWTO/