Comment créer un certificat SSL ?

Dans plusieurs documents du wiki, on aborde la question de la création de certificat SSL privé (c'est-à-dire qu'ils ne sont pas certifiés par une autorité indépendante).

Il existe beaucoup de sites expliquant comment créer un certificat SSL personnel. Voici une technique qui fonctionne mais dans laquelle je ne donne pas de détails.

Le paquet openssl doit être installé par la commande :

sudo apt-get install openssl

Placez-vous dans le répertoire /etc/ssl et créez la clé : 9iw

cd /etc/ssl
sudo openssl genrsa -out server.key 2048

Cette commande va créer la clé privée avec l'algorithme RSA 2048 bits.

Ensuite il faut générer un fichier de « demande de signature de certificat », en anglais CSR : Certificate Signing Request :

sudo openssl req -new -key server.key -out server.csr

Vous allez devoir répondre à un certain nombre de questions. Veillez surtout à mettre le nom du serveur tel qu'il est appelé de l'extérieur dans le champ « Common Name » (par exemple : "www.example.com").

Enfin, générez ou récupérez le certificat signé au format x509 suivant la méthode 1 ou 2 :

1. certificat auto-signé pour 365 jours (1 an) :

   sudo openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

   Remarque : ce certificat n'est authentifié par aucune autorité, vous aurez donc un message d'avertissement quand vous vous connectez au serveur.

2. certificat signé par une autorité tierce, par exemple CACert : copier/coller la demande (le fichier server.csr) à l'autorité qui va signer le certificat à utiliser (ici pour cacert).

Contributeur 5: Jeremy