Vue d'ensemble #

RELIANOID est capable de gérer les connexions HTTPS (profil HTTP), l'administrateur système doit donc créer ses propres certificats (certificats auto-signés) ou acquérir des certificats signés par une autorité de certification, dans les deux cas le certificat doit être construit au format PEM.

Le certificat sécurisé doit être créé sans mot de passe et les clés et la CSR doivent être générés sur le serveur pour être sécurisés.

Les Positives SSL sont prêts à fonctionner au format PEM, mais Rapid SSL doit être converti car chaque fichier contient le certificat, l’autorité de certification intermédiaire et l’autorité de certification racine séparée.

Exigences #

Le package openssl doit être installé afin de générer les clés sur le serveur, dans notre cas ce sera le RELIANOID instance qui devrait être déjà installée.

Commencez par générer la clé sans phrase secrète.

racine@noid-ee-01 :~# openssl genrsa -out host_domain_com.key 2048

Générez ensuite la demande de certificat signé (.csr) en utilisant la clé générée (.key) comme entrée.

racine@noid-ee-01 :~# openssl req -new -key host_domain_com.key -out host_domain_com.csr

Une fois que le certificat et les fichiers de l'autorité de certification intermédiaire sont livrés, veillez à obtenir le certificat racine de l'émetteur.
Tous les fichiers séparés doivent être au format PEM: certificat de serveur, certificat intermédiaire et certificat d'autorité de certification racine. Si ce n'est pas le cas, convertissez le fichier avec la commande suivante:

racine@noid-ee-01 :~# openssl x509 -in certFileName.csr -outform PEM -out convertiCertFileName.pem

Enfin, nous avons la clé privée, le certificat émis, le certificat intermédiaire et le certificat de l'autorité de certification racine. Tous ces contenus de fichiers doivent être combinés pour créer le fichier PEM au format UNIX.

Générer un certificat SSL au format PEM #

Pour générer un certificat SSL au format PEM, vous avez généralement besoin d'un Clé privée certificat, un certificat CA intermédiaire (s'il en existe un), et un certificat d'autorité de certification racine. Voici comment générer le fichier PEM :

Préparer les composants #

Clé privée: Assurez-vous de disposer de la clé privée correspondant au certificat.
Certificat: Obtenez le certificat délivré pour votre domaine ou serveur.
Certificat CA intermédiaire: Si votre certificat est émis par une autorité de certification intermédiaire (et non directement par l'autorité de certification racine), vous aurez besoin du certificat de l'autorité de certification intermédiaire.
Certificat d'autorité de certification racine: Vous aurez peut-être également besoin du certificat racine de l'autorité de certification, surtout s'il n'est pas déjà inclus dans le magasin de confiance des applications ou des appareils clients.

Concaténer les composants #

Ouvrez un éditeur de texte ou utilisez des outils de ligne de commande pour concaténer la clé privée, le certificat, le certificat CA intermédiaire (le cas échéant) et le certificat CA racine (si nécessaire) dans un seul fichier PEM, comme indiqué ci-dessous.

-----BEGIN RSA PRIVATE KEY----- Clé privée (sans mot de passe) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- Certificat (CN= www.mondomaine.com) -----FIN CERTIFICAT----- -----BEGIN CERTIFICAT----- Intermédiaire (AC intermédiaire, si elle existe) -----FIN CERTIFICAT----- -----BEGIN CERTIFICAT----- Racine (ROOT CA, qui signe le certificat) -----FIN CERTIFICAT-----

Reportez-vous à l'exemple ci-dessous pour savoir à quoi ressemblera un fichier PEM correct.

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

Il est obligatoire de convertir l'intégralité du fichier PEM au format UNIX. Il existe un certificat nommé zencert.pem or noidcert.pem à des fins de test afin d'être utilisé avec des fermes de profils HTTPS.

Assurez-vous que l’ordre des certificats est le suivant :

1. Votre certificat
2. Certificat CA intermédiaire (le cas échéant)
3. Certificat d'autorité de certification racine

Enregistrer le fichier PEM concaténé #

Enregistrez le fichier PEM concaténé avec une extension .pem. Ce fichier contiendra la clé privée et toute la chaîne de certificats.

Utilisez le fichier PEM #

Vous pouvez désormais utiliser le fichier PEM dans la configuration de votre serveur. En fonction de votre logiciel serveur (par exemple, Apache, Nginx, RELIANOID), vous devrez peut-être spécifier le chemin d'accès au fichier PEM dans la configuration SSL. À RELIANOID, téléchargez simplement le certificat SSL à l'aide de l'interface graphique Web et attribuez-le comme Certificat activé dans n'importe quelle ferme HTTPS.

Vérifier la configuration #

Après avoir configuré votre serveur pour utiliser le fichier PEM, il est essentiel de vérifier la configuration SSL/TLS pour garantir que la chaîne de certificats est présentée correctement aux clients lors de la négociation SSL. Vous pouvez utiliser divers outils de test SSL/TLS en ligne ou des utilitaires de ligne de commande comme OpenSSL pour vérifier la configuration et vous assurer que la chaîne de certificats est complète.

Générer un certificat SSL auto-signé au format PEM #

Pour créer un certificat SSL auto-signé au format PEM à partir de l'équilibreur de charge ou du serveur, exécutez les étapes suivantes :

1. Générez les fichiers de clé et de certificat avec une clé RSA de 4096 1 bits pendant XNUMX an et sans phrase secrète à l'aide de la commande suivante :

racine@noid-ee-01 :~# openssl req -nodes -new -x509 -newkey rsa:4096 -keyout server.key -out server.cert -days 365
Génération d'une clé privée RSA .......................++++ .................... .................................................................. .................................................................. ...................................++++ écriture d'une nouvelle clé privée dans 'server.key' - ---- Il vous sera demandé de saisir des informations qui seront intégrées à votre demande de certificat. Ce que vous êtes sur le point de saisir est ce qu'on appelle un nom distinctif ou un DN. Il y a un certain nombre de champs mais vous pouvez en laisser certains vides. Pour certains champs, il y aura une valeur par défaut. Si vous entrez '.', le champ restera vide. ----- Nom du pays (code à 2 lettres) [AU] : Nom de l'État ou de la province (nom complet) [Un État] : Nom de la localité (par exemple, ville) [] : Nom de l'organisation (par exemple, entreprise) [Widgits Internet Pty Ltd] : Nom de l'unité organisationnelle (par exemple, section) [] : Nom commun (par exemple, nom de domaine complet du serveur ou VOTRE nom) [] : Adresse e-mail [] :

Lors de l'exécution de cette commande, vous serez invité à saisir des informations de manière interactive. Veuillez fournir les détails requis.

2. Concaténez la clé et le certificat dans un fichier PEM à l'aide de la commande suivante :

racine@noid-ee-01 :~# cat serveur.key serveur.cert >> serveur.pem

Cette commande combine la clé et le certificat dans un seul fichier PEM.

3. Votre certificat SSL auto-signé au format PEM (serveur.pem) est maintenant prêt à être utilisé avec votre proxy, vos services Web ou vos services Internet.

Comment voir le contenu d'un certificat SSL #

Pour afficher le contenu d'un certificat SSL, vous pouvez utiliser divers outils et commandes. Une méthode courante consiste à utiliser OpenSSL, un outil de ligne de commande polyvalent qui prend en charge diverses opérations cryptographiques, notamment l'inspection des certificats. Voici comment afficher le contenu d'un certificat SSL à l'aide d'OpenSSL :

Commande OpenSSL pour obtenir les détails du certificat #

Ouvrez un terminal ou une fenêtre d'invite de commande sur votre système.

Utilisez la commande OpenSSL suivante pour afficher le contenu du certificat SSL :

racine@noid-ee-01 :~# openssl x509 -in certificat.pem -text -noout

remplacer certificat.pem avec le chemin d'accès à votre fichier de certificat SSL.

Si votre certificat est au format PEM, cette commande affichera des informations détaillées sur le certificat, notamment :

Emetteur
Sujet
Période de validité (dates de début et de fin)
Informations sur la clé publique
Extensions de certificat
Algorithme de signature
Empreintes digitales (SHA-1, SHA-256, etc.)

Une fois la commande exécutée, OpenSSL affichera la représentation textuelle du contenu du certificat. Examinez les informations affichées pour vérifier les détails du certificat, tels que l'émetteur, le sujet, les dates de validité et d'autres métadonnées pertinentes.

Inspecter les certificats DER #

Si votre certificat est au format DER au lieu de PEM, vous pouvez utiliser l'option -inform der pour spécifier le format d'entrée :

racine@noid-ee-01 :~# openssl x509 -informer le -in certificate.pem -text -noout

Vous pouvez également enregistrer la sortie dans un fichier pour une analyse ou une documentation plus approfondie en utilisant la redirection shell (>) :

racine@noid-ee-01 :~# openssl x509 -in certificate.pem -text -noout > certificate_details.txt

Cette commande enregistrera les détails du certificat dans un fichier nommé certificate_details.txt.

En utilisant l'outil de ligne de commande OpenSSL, vous pouvez facilement inspecter le contenu d'un certificat SSL et vérifier ses détails, vous aidant ainsi à garantir la sécurité et la validité de vos connexions SSL/TLS.

Vérifier que l'autorité de certification intermédiaire et racine est présente dans un certificat SSL #

Vérifier si des certificats d'autorité de certification intermédiaires et racine sont présents dans un certificat SSL implique d'examiner la chaîne de certificats. Voici comment procéder :

Utilisez OpenSSL ou un autre outil pour afficher les détails du certificat SSL. Exécutez la commande suivante :

racine@noid-ee-01 :~# openssl crl2pkcs7 -nocrl -certfile certificat.pem | openssl pkcs7 -print_certs -noout 
subject=CN = mydomain.com issuer=C = US, O = "DigiCert, Inc.", CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1

Dans l'exemple ci-dessus, seul le certificat est présent.

racine@noid-ee-01 :~# openssl crl2pkcs7 -nocrl -certfile certificat.pem | openssl pkcs7 -print_certs -noout 
subject=CN = mydomain.com issuer=C = US, O = « DigiCert, Inc. », CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 subject=C = US, O = « DigiCert, Inc. », CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 émetteur = C = États-Unis, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA

Dans l'exemple ci-dessus, le certificat et l'intermédiaire sont tous deux présents.

Remplacez certificate.pem par le chemin d'accès à votre fichier de certificat SSL.

Utilisez également OpenSSL pour afficher la chaîne de certificats présentée par le serveur SSL lors de la prise de contact. Exécutez la commande suivante :

racine@noid-ee-01 :~# openssl s_client -connecter mondomaine.com:443 -showcerts

Remplacez mydomain.com par le nom de domaine du serveur compatible SSL auquel vous souhaitez vous connecter.

Recherchez les sections intitulées Chaîne de certificats ou Chaîne de certificats (PEER). Cela affichera les certificats présentés par le serveur, en commençant par le certificat d'entité finale et en terminant par le certificat d'autorité de certification racine.

Vérifiez les certificats d'autorité de certification intermédiaire et racine en examinant chaque certificat de la chaîne pour vérifier si les certificats d'autorité de certification intermédiaire et racine sont présents.
Certificat CA intermédiaire: Recherchez un certificat dans la chaîne qui correspond à l'émetteur du certificat d'entité finale mais le précède.
Certificat d'autorité de certification racine: Vérifiez que le dernier certificat de la chaîne est le certificat racine de l'autorité de certification.

Vous pouvez également utiliser des outils de validation SSL en ligne qui vérifient automatiquement la chaîne de certificats et vérifient si des certificats d'autorité de certification intermédiaires et racine sont présents. Des outils tels que SSL Server Test de SSL Labs ou l'outil de diagnostic d'installation SSL de DigiCert peuvent fournir des informations détaillées sur la chaîne de certificats.

En suivant ces étapes, vous pouvez vérifier si des certificats CA intermédiaires et racine sont présents dans un certificat SSL et garantir l'intégrité et la sécurité de vos connexions SSL/TLS.