3.9. Utilisation d'une autorité de certification privée pour émettre des certificats pour les CSR avec GnuTLS
Pour permettre aux systèmes d'établir un canal de communication crypté TLS, une autorité de certification (AC) doit leur fournir des certificats valides. Si vous disposez d'une autorité de certification privée, vous pouvez créer les certificats requis en signant les demandes de signature de certificat (CSR) des systèmes.
Conditions préalables
- Vous avez déjà configuré une autorité de certification privée. Voir Section 3.6, « Création d'une autorité de certification privée à l'aide de GnuTLS » pour plus d'informations.
- Vous avez un fichier contenant un CSR. Vous trouverez un exemple de création de CSR sur Section 3.7, « Création d'une clé privée et d'une CSR pour un certificat de serveur TLS à l'aide de GnuTLS ».
Procédure
Facultatif : Utilisez un éditeur de texte de votre choix pour préparer un fichier de configuration GnuTLS afin d'ajouter des extensions aux certificats, par exemple :
$ vi <server-extensions.cfg> honor_crq_extensions ocsp_uri = "http://ocsp.example.com"Utilisez l'utilitaire
certtoolpour créer un certificat basé sur une CSR, par exemple :$ certtool --generate-certificate --load-request <example-server.crq> --load-ca-privkey <ca.key> --load-ca-certificate <ca.crt> --template <server-extensions.cfg> --outfile <example-server.crt>
Ressources supplémentaires
-
certtool(1)page de manuel
