Configurer OpenSSL pour un serveur WEB sécurisé sous Mandriva

[hindou90]

Bonjour
J'ai essaye de rendre mon serveur web sécurisé pour cela j'essaye de configurer le openSSL.
J'ai un doc qui explique comment le configurer en créant les certificats et les clés, et voici les commandes qu'il propose :
Pour création de la clé :
Créer une clé RSA pour votre serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl genrsa -out monserveur.key 1024

Vous pouvez également utiliser un encryptage avec mot de passe avec la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl genrsa -des3 -out monserveur.key 1024

Pour création des certificats :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl req -new -key monserveur.key -out monserveur.csr

Tout d'abord, il crée la clé avant le certificat la chose qui n'est pas juste, car c'est le certificat qui générer la clé, n'est ce pas ?

Svp, je comprend pas les options qui sont dans les deux commandes telles que new, key ..si quelque peut me les expliquer je serais très reconnaissante

Avec mes salutations!
NB: j'ai pas faite de configuration d'apache car ils m'ont dit que les configurations qui viennent avec apache (lors de l'installation) suffira.
Je travaille sous Mandriva.

[kain_tn]

Bonjour,

En fait, -key et -new sont des options de req ce qui fait que tu peux avoir des explications avec un simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

man req

-new:

Citation:

This option generates a new certificate request. It will prompt the user for the relevant field values. The actual fields prompted for and their maximum and minimum sizes are specified in the configuration file and any requested extensions.

If the -key option is not used it will generate a new RSA private key using information specified in the configuration file.

-key FILENAME:

Citation:

This specifies the file to read the private key from. It also accepts PKCS#8 format private keys for PEM format files.

[hindou90]

mais pourquoi, dans le doc il crée la clé avant le certificat, normalement c'est le certificat qui généré la clé, non ?
êtes-vous d'accord sur le faite que ce n'est pas la peine de configure apache après son installation.

[kain_tn]

Citation:

Envoyé par hindou90

mais pourquoi, dans le doc il crée la clé avant le certificat, normalement c'est le certificat qui généré la clé, non ?

Le certificat est bien créé après. il est accompagné de la clé publique et surtout il est signé avec une clé privée provenant d'un organisme tiers (comme Verisign, ...) ou non (auto-signé).
Le certificat en soi ne sert qu'à garantir l'identité de la machine, tandis que la clé sert à chiffrer la communication.

Citation:

Envoyé par hindou90

êtes-vous d'accord sur le faite que ce n'est pas la peine de configure apache après son installation.

Euh, par défaut Apache n'est pas configuré avec HTTPS il me semble, et si vous tenez à utiliser votre propre certificat, eh bien il faut le configurer. Tu peux peut-être t'inspirer de cette page là: Configurer Apache pour utiliser votre certificat SSL Gandi

[hindou90]

Citation:

il est accompagné de la clé publique et surtout il est signé avec une clé privée provenant d'un organisme tiers (comme Verisign, ...) ou non (auto-signé).

j'avoue que je n'ai pas saisie qu'est ce qui vous montre que ce certificat est accompagné d'une clé publique ?
Oui exactement, le protocole par défaut est HTTP, avec le openSSL il devient HTTPS .
Mais j'ai voulu dire que ce n'est pas la peine de faire la configuration au début, bien entendue si on exclus la sécurité .

[kain_tn]

Citation:

Envoyé par hindou90

j'avoue que je n'ai pas saisie qu'est ce qui vous montre que ce certificat est accompagné d'une clé publique ?

Un certificat ne sert à rien si il n'y a pas de clé publique! Le HTTPS est du HTTP basé sur SSL, qui est un protocole de chiffrement asynchrone. C'est-à-dire que dans une communication entre A et B, A et B échangent leurs clés publiques respectives.

A chiffre les messages qu'il envoie à B avec la clé publique de B
B déchiffre les messages chiffrés par A grâce à sa propre clé privée

B chiffre les messages qu'il envoie à A avec la clé publique de A
A déchiffre les messages chiffrés par B grâce à sa propre clé privée


Dans tout ça, le certificat n'est qu'une sorte de 'fiche' qui contient des informations sur la machine (dont la clé publique)

[hindou90]

Bonsoir
j'ai essayé de comprendre tout ce que mais pouvez-vous justifier pourquoi le certificat ne sert à rien s'il n'est pas accompagné d'une clé publique.

Citation:

B déchiffre les messages chiffrés par A grâce à sa propre clé privée

comment ?
ça doit être grâce à la clé publique, non ?

merci beaucoup à vous

[hindou90]

merci bien pour le lien
mais je pense que c'est pas la peine de faire toute les configurations mentionnées dans ce dernier, parce que je veux mettre en place un serveur sécurisé sans l'usage d'un serveur DNS.

[hindou90]

Bonsoir j'ai des fichiers que permettent la configuration d'apache pour avoir HTTPS:
Premier fichier

1.il faut génere la demande de certificat:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl genrsa -out monserveur.key 1024

pour encrypter le mot de passe on ajout l'option -des3

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl genrsa -des3 -out monserveur.key 1024

2.générer la demande de certificat:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl req -new -key monserveur.key -out monserveur.csr

puis des infos seront démandées, vous pouvez laisser les champs vides.
ou est ce qu'on va créer la clé et le certificat ?
3.copier le certificat et la clé:
nomseveur.crs => /etc/pki/tls/certs
monseveur.key => /etc/pki/tls/private
4.modifier la configuration de l'hôte virtual sous mandriva:
/etc/httpd/conf/vhosts.d/01_default_ssl_vhost.conf
dans ce fichier vérifier les derictives:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
SSLCertificateFile /etc/pki/certs/monserveur.crt
SSLCertificateKeyFile /etc/pki/tls/monserveur.key

Notez que le nom du serveur doit corréspondre bien à celui du certifit
5.Rédemarrer votre serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

service httpd restart

6.Vérifier le bon fonctionnement en accédant:
https://monserveur
Deuxième méthode
1.création certificat et clé Toujours la même question est ce qu'on va créer ces deux:
certificat=>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl req -config /etc/ssl/openssl.conf -new -out monserveur.csr

clé=>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 openssl rsa -in monserveur.crs -out monserveur.crt -req -signkey nomserveur.key -day 3650

c'est quoi cette extension .crt, est ce que ici on crée deux clés primaire et secondaire n'est ce pas?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl x509 -in monserveur.crt -out monserveur.der.crt -outfrom DER

2.Confuguration d'apache pour le ssl

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
cd /tmp/ssl_conf
cp trustonme.crt /etc/httpd/conf/ssl.crt/
cp trustonme.key /etc/httpd/conf/ssl.key/

nettoyer le sfichier ssl.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
cd /etc/httpd/conf
mv ssl.conf ssl.conf.old

3.Editer le fichier /etc/httpd/conf/ssl.conf en modifiant les lignes suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
SSLCertificatFile /etc/httpd/conf/ssl.crt/monserveur.crt
SSLCertificatKeyFile /etc/httpd/ssl.key/monserveur.key

4.lancement d'apache:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/usr/sbin/apachectl start

lancemendt d'apache +ssl

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/usr/sbin/apachectl startssl

c'est deux méthodes sont presque identique et je sais quelle utiliser ?
merci de m'aider à choir la bonne( ou bien la correcte) et de me repondre svp à mes questions mentionnées en haut .
bien à vous