Académique Documents
Professionnel Documents
Culture Documents
md 13/09/2021
OpenSSL
OpenSSL concerne les PKI (Public Key Infrastructure) et HTTPS (HTTP avec TLS)
Il est difficile de différencier un certificat DV d'un OV. Dans les détails du certificat à la rubrique sujet
ou objet on trouve des infos sur l'entreprise si c'est un OV. Pour les certificats EV, ils ont une barre
verte dans l'URL du navigateur.
La demande de signature de certificat n’est qu’une des étapes nécessaires pour l’obtention d’un
certificat SSL. Profitons-en pour rappeler quelles sont ces étapes incontournables :
Sélectionnez l’Autorité de Certification qui vous délivrera votre certificat SSL. (Généralement
son hébergeur)
Choisissez votre niveau de certification (SSL DV, SSL OV, SSL EV) et la période de validité désirée.
Entrez votre CSR certificat en prenant soin de donner des informations complètes et viables,
après avoir généré l’indispensable paire de clés.
Attendez la validation de votre demande.
Téléchargez votre certificat SSL émis par l’AC, soit depuis le mail qui vous a été envoyé, soit
depuis votre Espace client sur le site du prestataire. Placez vos certificats (s’il y en a plusieurs)
dans un dossier dédié.
Installez votre certificat et liez-le à votre site web.
Redémarrez votre serveur et testez votre certificat numérique. Utilisez des navigateurs web
différents pour vous assurer que le protocole HTTPS est bien activé et que l’icône du cadenas
apparaît.
1/7
openSSL_cours_et_TP.md 13/09/2021
La procédure est quasiment identique quel que soit le serveur utilisé (Apache, par exemple). Pour plus
d’informations au sujet de votre demande de certificat (CSR) et de l’installation de votre certificat final,
n’hésitez pas à vous renseigner auprès de votre Autorité de Certification.
Exemple de CA
2/7
openSSL_cours_et_TP.md 13/09/2021
Définition FQDN = Fully Qualify Domain Name. Un FQDN, ou nom de domaine pleinement qualifié, est
écrit avec le hostname (nom d'hote) et le domain (nom de domaine), y compris le domaine de premier
niveau, dans cet ordre : [hostname].[domain].[tld]
Créer une clé privée d’une longueur de 2048 bits (clé de type RSA 2018 Bits).
S’assurer de la sécurité de la clé privée(en utilisant un outil de génération de clé suffisamment
récent pour ne pas être vulnérable, et en définissant un mot de passe/une liste de contrôle pour
en protéger l’accès).
Utiliser un algorithme de signature en SHA256 (SHA 256withRSA) pour la CSR (en vertu des
exigences du cahier des charges RGS).
TP Certificats
Le monde informatique
Qwant
Crédit Mutuel
Centre de cybersécurité
Chercher les dates d'expiration et des indices pour savoir le type de certificat (DV, OV ou EV)
source
openssl req \
-newkey rsa:2048 -sha256 -nodes -keyout mondomaine.key \
-out mondomaine.csr
explications:
-nodes signifie que l'on de demande pas de mot de passe pour cette clé.
3/7
openSSL_cours_et_TP.md 13/09/2021
openssl req \
-key domain.key \
-new -out domain.csr
openssl req \
-newkey rsa:2048 -sha256 -nodes -out mondomaine.org.key \
-x509 -days 180 -out mondomaine.crt
Voir un CSR :
openssl req -text -noout -verify -in domain.csr
Voir un certificat SSL auto-produit :
openssl x509 -text -noout -in domain.crt
Voir un certificat SSL produit par une CA :
openssl verify -verbose -CAFile ca.crt domain.crt
4/7
openSSL_cours_et_TP.md 13/09/2021
openssl x509 \
-in domain.crt \
-outform der -out domain.der
openssl x509 \
-inform der -in domain.der \
-out domain.crt
openssl pkcs7 \
-in domain.p7b \
-print_certs -out domain.crt
openssl pkcs12 \
-inkey domain.key \
-in domain.crt \
-export -out domain.pfx
openssl pkcs12 \
-in domain.pfx \
-nodes -out domain.combined.crt
5/7
openSSL_cours_et_TP.md 13/09/2021
Différentes plates-formes et différents dispositifs nécessitent des certificats SSL dans différents
formats ex : - Un serveur Windows utilise des fichiers .pfx Un serveur Apache utilise des fichiers .crt,
.cer
NOTE : La seule façon de faire la différence entre PEM.cer et DER.cer est d'ouvrir le fichier dans un
éditeur de texte et de rechercher les mentions BEGIN/END.
Format PEM
C'est le format le plus courant dans lequel les autorités de certification délivrent des certificats. Il
contient les mentions "--BEGIN CERTIFICATE--" et "--END CERTIFICATE--".
Plusieurs certificats PEM et même la clé privée peuvent être inclus dans un fichier, l'un sous l'autre.
Mais la plupart des plateformes (par exemple Apache) s'attendent à ce que les certificats et la clé
privée soient dans des fichiers séparés.
Format DER
Il s'agit d'une forme binaire de certificat de format ASCII PEM. Tous les types de certificats et de clés
privées peuvent être encodés au format DER
P7B/PKCS#7
Ils contiennent les déclarations "--BEGIN PKCS--" & "--END PKCS7--". Il ne peut contenir que les
certificats et les certificats de chaîne mais pas la clé privée.
PFX/PKCS#12
Ils sont utilisés pour stocker le certificat du serveur, tout certificat intermédiaire et la clé privée dans
un fichier crypté.
6/7
openSSL_cours_et_TP.md 13/09/2021
TP certificats :
7/7