3.5. Utilisation d'une autorité de certification privée pour émettre des certificats pour les CSR avec OpenSSL
Pour permettre aux systèmes d'établir un canal de communication crypté TLS, une autorité de certification (AC) doit leur fournir des certificats valides. Si vous disposez d'une autorité de certification privée, vous pouvez créer les certificats requis en signant les demandes de signature de certificat (CSR) des systèmes.
Conditions préalables
- Vous avez déjà configuré une autorité de certification privée. Voir Section 3.2, « Création d'une autorité de certification privée à l'aide d'OpenSSL » pour plus d'informations.
- Vous avez un fichier contenant un CSR. Vous trouverez un exemple de création de CSR sur Section 3.3, « Création d'une clé privée et d'une CSR pour un certificat de serveur TLS à l'aide d'OpenSSL ».
Procédure
Facultatif : Utilisez un éditeur de texte de votre choix pour préparer un fichier de configuration OpenSSL afin d'ajouter des extensions aux certificats, par exemple :
$ vim <openssl.cnf> [server-cert] extendedKeyUsage = serverAuth [client-cert] extendedKeyUsage = clientAuthUtilisez l'utilitaire
x509pour créer un certificat basé sur une CSR, par exemple :$ openssl x509 -req -in <server-cert.csr> -CA <ca.crt> -CAkey <ca.key> -days 365 -extfile <openssl.cnf> -extensions <server-cert> -out <server-cert.crt> Signature ok subject=C = US, O = Example Organization, CN = server.example.com Getting CA Private Key
Ressources supplémentaires
-
openssl(1),ca(1), etx509(1)pages de manuel
