Différences

Ci-dessous, les différences entre deux révisions de la page.

--- divers:openssl [2017/01/10 00:46] – [Lecture du contenu d'un certificat] fabien.rico
+++ divers:openssl [2018/01/08 00:54] (Version actuelle) – [Requête de signature] fabien.rico
@@ Ligne 6: / Ligne 6: @@
 Pour authentifier un serveur, il faut un certificat valide c'est à dire un document contenant la description du serveur (notamment son identifiant et ses noms alternatifs) ainsi que sa clef publique et une signature d'une autorité de certification.
-  * Pour générer une clef secrète pour le serveur (2048 bits) :
+  * La commande suivante permet de générer une clef secrète pour le serveur (2048 bits) :
   openssl genrsa -out server.key 2048
-  * Pour générer la requète de signature à envoyer à l'autorité :
+  * La commande suivante permet de générer la requête de signature à envoyer à l'autorité :
   openssl req -config openssl.cnf -nodes -new -key server.key -out server.csr
-Ici le fichier ''openssl.cnf'' en plus des valeurs par défaut doit contenir les information sur les noms alternatifs.
+Ici le fichier ''openssl.cnf''est un fichier de configuration. Il est important qu'il contiennent, en plus des valeurs par défaut, les informations sur les noms alternatifs (les différents nom que peut prendre votre machine). Cela signifie que  :
   * Dans la section ''[ req ]'' de ce fichier, il faut ajouter une extension :
@@ Ligne 28: / Ligne 28: @@
   subjectAltName = @alt_names
-  * Enfin, il faut une section ''[ alt_names ]'' avec les noms alternatifs :
+  * Enfin, il faut une section ''[ alt_names ]'' avec les noms alternatifs voulus:
   [ alt_names ]
@@ Ligne 37: / Ligne 37: @@
   IP.2 = ...
-Les champs ''DNS.*'' présentent les noms DNS, ''IP.*'' les adresses IPs ...
+Bien surt, les champs ''DNS.*'' présentent les noms DNS, ''IP.*'' les adresses IPs ...
 Attention, il est préférable que le le ''CN'' soit aussi répété dans les noms alternatifs.
-Une fois la requète générée, vous pouvez la vérifié (voir section lecture) et la transmettre à une autorité de certificat qui va la signer.
+Une fois la requête générée, vous pouvez la vérifier (voir section lecture) et la transmettre à une autorité de certificat qui va la signer.
 ==== CA ====
@@ Ligne 65: / Ligne 65: @@
 Un certificat, une clef ou un requête sont simplement formé par un paragraphe en base64 entre 2 lignes qui décrivent le contenu. Par exemple :
-  ''-----BEGIN CERTIFICATE REQUEST-----
+  -----BEGIN CERTIFICATE REQUEST-----
   MIIDxzCCAq8CAQAwgasxCzAJBgNVBAYTAkZSMR0wGwYDVQQIDBRSaG9uZS1BbHBl
   cy1BdXZlcmduZTENMAsGA1UEBwwETHlvbjEMMAoGA1UECgwDVFBSMQ0wCwYDVQQL
-  DARTSVJWMScwJQYDVQQDDB53d3cuZ3JvdXBlMS5zZWN1LnVuaXYtbHlvbjEuZnIx
-  KDAmBgkqhkiG9w0BCQEWGWZhYmllbi5yaWNvQHVuaXYtbHlvbjEuZnIwggEiMA0G
-  CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDN9EXuO3KTIW6T13brKcHD+SEXJdZs
   CC6RaOwOoyoceMR+uMiWPORYmtqsnRfu24WDisNu2Sw8rCipOOCtm6FxylNZAxBt
 vfhPpFdF1Z0oKyajGCOea8bp2spz3YfBudQ4iOP/VpEw8FaWge33ifSJyJ3DBB
   d96YQwDgqg+UP6fKptzq9O3Huy8yI/0DEMxhRY859Px1XPsfY31DRCyHj5Ppq+P0
+  pgYDVR0RBIGeMIGbgh9hdXRoLmdyb3VwZTEuc2VjdS51bml2LWx5b24xLmZygiFy
+  ZWxvYWQuZ3JvdXBlMS5zZWN1LnVuaXYtbHlvbjEuZnKCIm1hbmFnZXIuZ3JvdXBl
 XMY5DI42noZfH/Jqz218X1NV33DlOyN5pQPYA0VBLleODt0H822qQHdEa9NLuWr
   inFlDmugu7wBPTJzyO4C87gZbhCC68jVT9dI3teuU51RAZPv+tGq1FJpAgMBAAGg
   gdUwgdIGCSqGSIb3DQEJDjGBxDCBwTAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DCB
-  pgYDVR0RBIGeMIGbgh9hdXRoLmdyb3VwZTEuc2VjdS51bml2LWx5b24xLmZygiFy
-  ZWxvYWQuZ3JvdXBlMS5zZWN1LnVuaXYtbHlvbjEuZnKCIm1hbmFnZXIuZ3JvdXBl
   MS5zZWN1LnVuaXYtbHlvbjEuZnKCIHRlc3QxLmdyb3VwZTEuc2VjdS51bml2LWx5
   b24xLmZygglsb2NhbGhvc3SHBKwSAAIwDQYJKoZIhvcNAQELBQADggEBABQIIt9E
@@ Ligne 90: / Ligne 89: @@
 Il est toujours utile de vérifier le contenu d'un certificat :
-  * pour un cer
+  * pour un certificat :
+  openssl x509 -in NOMFICHIER.crt -text
+  * pour une requête :
+  openssl req   -in NOMFICHIER.csr -text