35 lines
1.4 KiB
Text
35 lines
1.4 KiB
Text
Démo rapide d'utilisation :
|
|
./CA.sh -newca
|
|
(bien penser à noter le mot de passe de façon confidentielle)
|
|
|
|
Puis, pour chaque certificat à signer :
|
|
- générer une demande de certificat (ou récupérer le .req depuis le serveur en le nommant 'newreq.pem') :
|
|
./CA.sh -newreq
|
|
- le signer :
|
|
./CA.sh -sign
|
|
- transmettre le newcert.pem généré.
|
|
|
|
|
|
Annexes :
|
|
TODO champs :
|
|
Champs déjà customisés :
|
|
- default_crl_days : par défaut, il était à 30 jours. Trop court pour la plupart de mes usages : poussé à 10 ans.
|
|
- default_bits : par défaut, il était à 2048. Mis à 4096 parce que j'aime bien pousser les limites :)
|
|
Champs à revoir en général :
|
|
- countryName_default, stateOrProvinceName_default, etc. : permet d'éviter de les rentrer à chaque génération de certificate request.
|
|
|
|
Aide mémoire :
|
|
- CSR rapide :
|
|
```
|
|
# Génération de la clef (au choix: RSA, ECDSA, ...)
|
|
# - RSA
|
|
openssl genrsa -out $( hostname -f ).key 2048
|
|
# - ECDSA
|
|
openssl ecparam -name prime256v1 -genkey -out $( hostname -f ).key
|
|
|
|
# Génération du CSR :
|
|
openssl req -new -sha256 -key $( hostname -f ).key -subj "/CN=$( hostname -f )" > $( hostname -f ).csr
|
|
# ou, via les subjectAltName :
|
|
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
|
|
# + copy_extensions = copy dans openssl.cnf
|
|
```
|