Le processus de générer des certificats SSL/TLS est une tâche courante pour de nombreux administrateurs système Linux. Heureusement, même si vous n’êtes pas administrateur, il est facile de le faire en utilisant OpenSSL, un outil open source installé par défaut sur de nombreuses distributions Linux. Nous expliquons ici ce qu’est OpenSSL, comment l’installer et, surtout, comment l’utiliser pour générer des certificats SSL et TLS sur votre système.
Qu’est-ce qu’OpenSSL ?
OpenSSL est une bibliothèque développée par le projet OpenSSL pour fournir des implémentations SSL et TLS open source pour le chiffrement du trafic réseau. Il est facilement disponible pour une variété de distributions basées sur Unix et peut être utilisé pour générer des certificats, des clés privées RSA et effectuer des tâches générales liées à la cryptographie.
Limitation du certificat SSL auto-signé
Lorsque vous utilisez OpenSSL pour générer un certificat SSL, il est considéré comme « auto-signé ». Cela signifie que le certificat SSL est signé avec sa propre clé privée et non par une autorité de certification (CA).
En tant que tel, le certificat SSL ne peut pas être « approuvé » et ne doit pas être utilisé pour un site public. S’il est utilisé, les utilisateurs verront probablement des avertissements de leurs navigateurs concernant le certificat.
Un certificat auto-signé est utile pour le développement local ou pour toute application exécutée en arrière-plan qui ne fait pas face à Internet.
Alternativement, vous pouvez utiliser LetsEncrypt ou obtenir un certificat vérifié par une autorité de confiance, telle que Comodo CA.
Installation
La plupart des distributions Linux ont déjà une version d’OpenSSL intégrée par défaut. Sinon, vous pouvez facilement l’installer.
Vous pouvez l’installer sur Ubuntu et Debian en utilisant la commande apt :
sudo apt install opensslSur Fedora et CentOS (ou son alternative ), vous pouvez l’installer en utilisant la commande yum :
sudo yum install opensslVous pouvez également le télécharger facilement depuis son site Web sous forme de fichier « .tar.gz ».
Utilisation de base
Maintenant que vous avez installé OpenSSL, nous pouvons jeter un œil à certaines des fonctions de base fournies par le programme.
Vous pouvez commencer par afficher la version et d’autres informations pertinentes sur votre installation OpenSSL :
openssl version -aVous pouvez consulter le manuel fourni :
openssl helpGénération d’un certificat à l’aide d’un fichier de configuration
La génération d’un certificat à l’aide d’OpenSSL est possible de plusieurs manières. L’un d’eux consiste à utiliser un fichier de configuration qui précisera les détails de l’organisation.
Pour commencer, vous pouvez créer un fichier de configuration appelé « config.conf » et le modifier à l’aide de Nano :
sudo nano exemple.confVous pouvez simplement copier et coller ceci dans le fichier et apporter les modifications nécessaires pour refléter les informations de votre organisation.
Ensuite, vous devez générer une clé privée RSA, qui sera ensuite utilisée pour générer un certificat racine – :
openssl genrsa -out exemple.key 2048L’option -out est utilisé dans ce cas pour spécifier le nom de la clé qui sera générée. Une taille de clé de 2048 bits est également spécifiée, qui est la valeur par défaut pour les clés RSA.
Vous devrez également générer une demande de signature de certificat (CSR) :
openssl req -new -key exemple.key -out exemple.csr -config exemple.confDans ce cas, l’option -key est utilisé pour spécifier la clé RSA, l’option -out spécifie le nom du fichier CSR et l’option -config est utilisé pour spécifier le nom du fichier de configuration.
