Créer sa propre autorité de certification

L'astuce pour notre environnement local de tests est d'être sa propre autorité de certification , et de générer les certificats pour ses sites locaux. On utilise “openssl” pour ce faire.

Tous les fichiers de configuration, key, certificat seront placés dans le répertoire /srv/ssl.

• Nous allons créer un répertoire srv/ssl
• Créer les sous répertoires certs, crl, newcerts et private
• Un fichier serial avec uniquement 01 à l'intérieur qui donne le numéro du prochain certificat
• Un fichier index.txt dans lequel seront enregistrés les informations pour chaque certificat
• Notre fichier de configuration ssl openssl.cnf (copie du fichier /usr/lib/ssl/openssl.cnf ).

$ sudo mkdir -p /srv/ssl
$ cd /srv/ssl
srv/ssl $ sudo mkdir certs crl newcerts private
srv/ssl $ echo 01 | sudo tee serial
srv/ssl $ sudo touch index.txt
srv/ssl $ sudo cp /usr/lib/ssl/openssl.cnf .

On informe openssl que le répertoire à utiliser est notre répertoire /srv/ssl

$ sudo gedit /srv/ssl/openssl.cnf

Au niveau du “paragraphe” [CA_default] à la ligne dir = .. on modifie pour dir = /srv/ssl.

Il est aussi possible de modifier d'autres valeurs, nom, pays….etc

La commande est assez longue et il faut trouver et mémoriser une phrase pass par exemple “Je suis l'autorité”.

Elle crée le fichier de la clé privé /srv/ssl/private/cakey.pem.

/srv/ssl $ sudo openssl genrsa -des3 -out private/cakey.pem 4096