Génération de certificats SSL

163 vues

Publié le

Les certificats sont des fichiers informatiques qui participent à un processus d’authentification et qui associent une clé publique à son propriétaire.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
163
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
5
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Génération de certificats SSL

  1. 1. Application Note Génération de certificats SSL
  2. 2. Table des matières Certificats : Introduction ............................................................................ 3 Installation d’OpenVPN et des scripts Easy-RSA......................................... 3 Création des certificats ............................................................................... 4 Génération du certificat du CA (Autorité de Certification) ....................... 6 Génération du certificat du serveur VPN ................................................. 6 Génération du certificat du client VPN ..................................................... 7 Importation des certificats .................................................................... 10 Précaution : veillez à mettre à l’heure votre équipement avant de charger vos certificats dedans.
  3. 3. Certificats : Introduction Les certificats sont des fichiers informatiques qui participent à un processus d’authentification et qui associent une clé publique à son propriétaire. Le format standardisé est le X.509v3. Dans le présent document, nous allons créer des certificats auto-signés grâce à Easy-RSA qui est fourni avec OpenVPN. Ils serviront par la suite dans le cadre d’un fonctionnement interne, typiquement pour la création de tunnels VPN SSL ou IPSec. Installation d’OpenVPN et des scripts Easy-RSA Télécharger OpenVPN pour Windows à partir du lien suivant : https://openvpn.net/index.php/open-source/downloads.html Remarque : au moment de la rédaction de ce document, la version est 2.3.4-I603 pour Windows 32 bits. Lors de l’installation, vous devez vous assurer que les scripts d’Easy-RSA et les utilitaires d’OpenSSL sont bien validés.
  4. 4. Une fois l’installation terminée, vous trouverez dans le répertoire C:Program FilesOpenVPN le contenu suivant : Création des certificats Ouvrer une invite de commande en tant qu’administrateur et aller dans le répertoire easy-rsa. Réinitialiser le fichier de configuration et le fichier des variables avec la commande init-config.bat. Modifier le fichier vars.bat avec un éditeur de texte tel que Notepad++. Celui-ci se trouve dans le répertoire easy-rsa.
  5. 5. Ces champs de variables permettent d’identifier votre organisation. Valider les paramètres que vous venez d’éditer et créer le répertoire keys où seront stockés les différents certificats par les commandes vars.bat et clean-all.bat. Le répertoire keys est créé avec 2 fichiers présents : index.txt et serial. Ceux-ci serviront à répertorier les certificats créés avec leur numéro de série. Remarque : si vous aviez déjà créé des certificats, alors la commande clean-all.bat aura pour effet de remettre le répertoire keys en état initial. Tous les certificats seront alors effacés.
  6. 6. Génération du certificat du CA (Autorité de Certification) Pour créer le certificat du CA, utiliser la commande build-ca.bat. Laisser blanc les champs que vous voulez garder identique. Le champ Common Name doit être rempli avec un nouvel identifiant pour chaque organisation ou projet. Le certificat et la clé privée du CA sont créés dans le répertoire keys. Génération du certificat du serveur VPN La commande utilisée est build-key-server.bat suivi du nom du serveur. Par exemple, pour un nouveau projet avec une architecture en étoile, vous pouvez identifier le serveur VPN avec : build-key-server.bat SiteCentral
  7. 7. Le champ Common Name doit être rempli avec le même nom que vous avez tapé dans la commande. Laisser vide le champ mot de passe. Répondez par oui (yes) pour prendre en compte la demande d’émission et de signature du certificat. Génération du certificat du client VPN La commande utilisée est build-key.bat suivi du nom du client. Vous pouvez identifier le client avec le nom d’un site périphérique, auquel cas vous entrerez par exemple la commande suivante : build-key.bat SiteDistant
  8. 8. La génération des certificats se termine ici. Vous pouvez alors les charger sur vos équipements. Sur le routeur Serveur, vous aller donc importer : Server.crt, Server.key et ca.key. Sur le Client, vous chargez : Client.crt, Client.key et ca.key. Le format PKCS12 est plus pratique à utiliser puisqu’il regroupe en un seul fichier le certificat et la clé du client ainsi que le certificat du CA. De plus, il peut être protégé par un mot de passe. La commande utilisée pour générer ce type de format est build-key-pkcs12.bat suivi du nom du client. Par exemple : build-key-pkcs12.bat SiteDistant2
  9. 9. Pour exporter ce type de certificat dans votre équipement client VPN, rentrez le même mot de passe que vous avez configuré précédemment. Certains serveurs SSL requièrent en plus un fichier issu de l’opération Diffie-Hellman qui permet l’échange sécurisé des clés. Ce fichier est obtenu par la commande build-dh.bat.
  10. 10. Importation des certificats Sur un routeur Falcon, l’importation se fait de la manière suivante. Une fois que vous avez importé vos 3 fichiers, vous devez obtenir le tableau suivant : Sur un routeur MRD, le chargement se fait avec un fichier de type PKCS12 (extension p12). Si vous avez mis un mot de passe pour le protéger lors de la création du fichier p12, il vous le sera demandé pour pouvoir le charger sur le routeur.

×