3.8. Création d'une clé privée et d'une CSR pour un certificat client TLS à l'aide de GnuTLS
Pour obtenir le certificat, vous devez d'abord créer une clé privée et une demande de signature de certificat (CSR) pour votre client.
Procédure
Générez une clé privée sur votre système client, par exemple :
$ certtool --generate-privkey --sec-param High --outfile <example-client.key>Facultatif : Utilisez un éditeur de texte de votre choix pour préparer un fichier de configuration qui simplifie la création de votre CSR, par exemple :
$ vim <example_client.cnf> signing_key encryption_key tls_www_client cn = "client.example.com" email = "client@example.com"Créez une RSC à l'aide de la clé privée que vous avez créée précédemment :
$ certtool --generate-request --template <example-client.cfg> --load-privkey <example-client.key> --outfile <example-client.crq>Si vous omettez l'option
--template, l'utilitairecerttoolvous demande des informations supplémentaires, par exemple :Generating a PKCS #10 certificate request... Country name (2 chars): <US> State or province name: <Washington> Locality name: <Seattle> Organization name: <Example Organization> Organizational unit name: Common name: <server.example.com>
Prochaines étapes
- Soumettez la CSR à l'autorité de certification de votre choix pour signature. Sinon, pour un scénario d'utilisation interne au sein d'un réseau de confiance, utilisez votre autorité de certification privée pour la signature. Voir Section 3.9, « Utilisation d'une autorité de certification privée pour émettre des certificats pour les CSR avec GnuTLS » pour plus d'informations.
Vérification
Vérifiez que les parties du certificat lisibles par l'homme correspondent à vos exigences, par exemple :
$ certtool --certificate-info --infile <example-client.crt> Certificate: … X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Subject Alternative Name: email:client@example.com …
Ressources supplémentaires
-
certtool(1)page de manuel
