Démo rapide d'utilisation :
./CA.sh -newca
(bien penser à noter le mot de passe de façon confidentielle)
Puis, pour chaque certificat à signer :
- générer une demande de certificat (ou récupérer le .req depuis le serveur en le nommant 'newreq.pem') :
./CA.sh -newreq
- le signer :
./CA.sh -sign
- transmettre le newcert.pem généré.
Annexes :
TODO champs :
Champs déjà customisés :
- default_crl_days : par défaut, il était à 30 jours. Trop court pour la plupart de mes usages : poussé à 10 ans.
- default_bits : par défaut, il était à 2048. Mis à 4096 parce que j'aime bien pousser les limites :)
Champs à revoir en général :
- countryName_default, stateOrProvinceName_default, etc. : permet d'éviter de les rentrer à chaque génération de certificate request.
Aide mémoire :
- CSR rapide :
```
# Génération de la clef (au choix: RSA, ECDSA, ...)
# - RSA
openssl genrsa -out $( hostname -f ).key 2048
# - ECDSA
openssl ecparam -name prime256v1 -genkey -out $( hostname -f ).key
# Génération du CSR :
openssl req -new -sha256 -key $( hostname -f ).key -subj "/CN=$( hostname -f )" > $( hostname -f ).csr
# ou, via les subjectAltName :
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
# + copy_extensions = copy dans openssl.cnf
```
