| Red Hat Linux 6.2: Le Guide officiel d'installation Red Hat Linux Secure Server | ||
|---|---|---|
| Précédent | Chapitre 3. Sécurisation du serveur | Suivant |
Générez ensuite une clé de cryptage et une demande de certificat. Vous devez disposer de la clé pour créer la demande de certificat. Vous avez besoin de la demande de certificat pour pouvoir demander un certificat à une CA.
Utilisez la commande cd pour passer au répertoire /etc/httpd/conf . Entrez la commande suivante (sur une seule ligne) pour générer votre clé :
/usr/bin/openssl genrsa -rand /dev/urandom -out /etc/httpd/conf/server.key 1024 |
Le système affiche un message pendant la génération de la clé. Une fois l'opération terminée, assurez-vous que les autorisations de la clé sont correctement définies à l'aide de la commande suivante :
chmod go-rwx /etc/httpd/conf/server.key |
Le fichier server.key doit appartenir à l'utilisateur root du système et ne doit être accessible à aucun autre utilisateur. Créez une copie de sauvegarde de ce fichier et conservez-la en lieu sûr. Cette copie peut vous être utile si vous perdez le fichier server.key après l'avoir utilisé pour créer votre demande de certificat car, dans ce cas, votre certificat cessera de fonctionner et la CA ne sera pas en mesure de vous aider. Il ne vous restera plus, alors, qu'à demander (et payer) un nouveau certificat numérique.
Après avoir créé une clé, l'étape suivante consiste à générer une demande de certificat à adresser à la CA de votre choix. Entrez la commande suivante (sur une seule ligne) :
/usr/bin/openssl req -new -key /etc/httpd/conf/server.key -out /etc/httpd/conf/server.csr |
Votre système affiche des instructions, puis vous demande de fournir une série de réponses. Vos entrées sont incorporées dans la demande de certificat. L'écran, avec des exemples de réponses, ressemble à ceci :
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [US]: State or Province Name []:North Carolina Locality (City) Name []:Durham Company (Organization) Name []:Test Company Department Name []:Testing Server Host Name []:test.mydomain.com Administrators E-mail address []:admin@mydomain.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Les réponses par défaut apparaissent entre crochets ([]) juste derrière chaque demande d'entrée. Par exemple, la première information requise est le nom du pays où le certificat sera utilisé ; elle apparaît sous la forme suivante :
Country Name (2 letter code) [US]: |
L'entrée par défaut, entre crochets, est US. Appuyez simplement sur Entrée pour accepter l'entrée par défaut ou entrez le code à deux lettres correspondant à votre pays.
Vous devez entrer manuellement les autres entrées (State or Province Name, Locality (City) Name , Company (Organization) Name, Department Name, Server Host Name et Administrators E-mail address). Leur intitulé est suffisamment parlant, à condition de connaître un peu l'anglais. Il convient cependant de respecter les instructions suivantes :
N'abrégez pas le nom de la ville ou de l'Etat. Ecrivez-les entièrement (par exemple, St. Louis doit être noté Saint-Louis).
Pour le champ Server Host Name, veillez à entrer le nom réel de Red Hat Linux Secure Server (un nom de DNS valide) et non d'éventuels alias du serveur.
Evitez d'utiliser des caractères spéciaux tels que @, #, &, !, etc. Certaines CA rejettent les demandes de certificat contenant un caractère spécial. Ainsi, si le nom de votre société contient un caractère "&", entrez "et" à la place.
Il est inutile d'utiliser les attributs supplémentaires (A challenge password et An optional company name). Pour continuer sans compléter ces champs, appuyez simplement sur Entrée pour accepter le champ à blanc par défaut pour les deux entrées.
Une fois ces informations entrées, un fichier nommé server.csr est généré. Le fichier server.csr constitue votre demande de certificat, prêt pour envoi à la CA.
Vous devez ensuite tester Red Hat Linux Secure Server pour vous assurer que tout fonctionne correctement. Pour ce faire, vous pouvez créer un certificat de test ou envoyer la demande de certificat à une CA afin d'obtenir un certificat de test. Le certificat de test émis par une CA est gratuit et vous est immédiatement adressé par courrier électronique. Vous n'avez pas à prouver l'identité de votre organisation pour obtenir un certificat de test d'une CA.
Notez qu'un certificat de test vous permet de tester Red Hat Linux Secure Server afin de vous assurer qu'il fonctionne ; ce n'est pas la même chose qu'un certificat signé. Vous pouvez utiliser un certificat de test pendant une période limitée et ne devez pas payer pour l'obtenir. Un certificat de test ne sera pas accepté par des navigateurs qui acceptent normalement les certificats de cette CA sans interroger l'utilisateur.
La section suivante explique comment générer votre propre certificat de test et comment obtenir des certificats de test de VeriSign et de Thawte.
| Précédent | Sommaire | Suivant |
| Preuve de l'identité de votre organisation apportée à une CA. | Niveau supérieur | Obtention d'un certificat de test |