Skip to content


Infrastructure de gestion de certificats et installation du CA sur les postes clients Debian/MAC OSX/Windows (Firefox et Chrome)

Infrastructure de gestion de certificats

Installer easyRSA

Le décompresser : tar -zxvf easy-rsa-2.2.0_master.tar.gz
├── aclocal.m4
├── configure
├── configure.ac
├── COPYING
├── COPYRIGHT.GPL
├── distro
│ ├── Makefile.am
│ ├── Makefile.in
│ └── rpm
│ ├── easy-rsa.spec
│ ├── easy-rsa.spec.in
│ ├── Makefile.am
│ └── Makefile.in
├── doc
│ ├── Makefile.am
│ ├── Makefile.in
│ ├── README-1.0
│ └── README-2.0
├── easy-rsa
│ ├── 1.0
│ │ ├── build-ca
│ │ ├── build-dh
│ │ ├── build-inter
│ │ ├── build-key
│ │ ├── build-key-pass
│ │ ├── build-key-pkcs12
│ │ ├── build-key-server
│ │ ├── build-req
│ │ ├── build-req-pass
│ │ ├── clean-all
│ │ ├── list-crl
│ │ ├── make-crl
│ │ ├── openssl.cnf
│ │ ├── revoke-crt
│ │ ├── revoke-full
│ │ ├── sign-req
│ │ └── vars
│ ├── 2.0
│ │ ├── build-ca
│ │ ├── build-dh
│ │ ├── build-inter
│ │ ├── build-key
│ │ ├── build-key-pass
│ │ ├── build-key-pkcs12
│ │ ├── build-key-server
│ │ ├── build-req
│ │ ├── build-req-pass
│ │ ├── clean-all
│ │ ├── inherit-inter
│ │ ├── list-crl
│ │ ├── openssl-0.9.6.cnf
│ │ ├── openssl-0.9.8.cnf
│ │ ├── openssl-1.0.0.cnf
│ │ ├── pkitool
│ │ ├── revoke-full
│ │ ├── sign-req
│ │ ├── vars
│ │ └── whichopensslcnf
│ └── Windows
│ ├── build-ca.bat
│ ├── build-ca-pass.bat
│ ├── build-dh.bat
│ ├── build-key.bat
│ ├── build-key-pass.bat
│ ├── build-key-pkcs12.bat
│ ├── build-key-server.bat
│ ├── build-key-server-pass.bat
│ ├── clean-all.bat
│ ├── index.txt.start
│ ├── init-config.bat
│ ├── README.txt
│ ├── revoke-full.bat
│ ├── serial.start
│ └── vars.bat.sample
├── install-sh
├── Makefile.am
├── Makefile.in
└── missing
7 directories, 71 files

 

Créer l'autorité de certification

Utiliser le répertoire 2.0
Modifier le fichier vars pour qu'il soit conforme à vos attentes
source ./vars
./clean-all
./build-ca --batch

 

Créer le certificat serveur ou les certificats de l'ensemble de vos machines

./build-dh --batch
./build-key-server --batch "ip machine"

Par exemple...

for i in $(seq 1 254)
do
./build-key-server --batch "10.0.2.$i"
done

 

Gestions des clefs sur les postes clients

Sur les postes clients

Sous Debian/Linux

Il faut intégrer le certificat de l'autorité de certification avec deux méthodes différentes mais complémentaires. En effet il ne suffit pas d'ajouter cette autorité au système pour que Firefox et Chrome la voient comme telle !

a) Intégration au système
wget https://pki/moncertifCA.crt --no-check-certificate -O /usr/share/ca-certificates/moncertifCA.crt
echo "moncertifCA.crt" >> /etc/ca-certificates.conf
update-ca-certificates
b) Aux base de données de Firefox et Chrome
apt-get install libnss3-tools -y
certutil -A -t "C,c,c" -n "My CA" -i moncertifCA.crt -d ~/.mozilla/firefox/*.default*/ -d sql:~/.pki/nssdb/

Sous MAC OSX

wget https://pki/moncertifCA.crt --no-check-certificate -O moncertifCA.crt 
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain moncertifCA.crt

Automatisation... Oui oui, cela s'automatise ! 🙂

Merci à Cyprien ! 😉

Champion du monde ! 🙂

Sous un domaine Windows

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.

Pour ajouter des certificats au magasin d’Autorités de certification racines approuvées pour un domaine

  1. Ouvrez le Gestionnaire de serveur, puis sous Résumé des fonctionnalités, cliquez sur Ajouter des fonctionnalités. Activez la case à cocher Gestion des stratégies de groupe, cliquez sur Suivant, puis sur Installer.
  2. Une fois que la page Résultats de l’installation indique que l’installation de la console de gestion des stratégies de groupe (GPMC) a réussi, cliquez sur Fermer.
  3. Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestion des stratégies de groupe.
  4. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.
  5. Cliquez avec le bouton droit sur l’objet de stratégie de groupe Stratégie de domaine par défaut, puis cliquez sur Modifier.
  6. Dans la Console de gestion des stratégies de groupe, accédez à Configuration ordinateur, Stratégie, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégies de clé publique.
  7. Cliquez avec le bouton droit sur le magasin Autorités de certification racines de confiance.
  8. Cliquez sur Importer et suivez les étapes de l’Assistant Importation de certificat pour importer les certificats.
Voilà sauf que Firefox n'en tient pas compte ! :/
Voir la commande : certutil sous Windows XP ou Seven qui diffère entre les deux systèmes !
Print Friendly

Posted in Debian, Linux, Sécurité, Technique, Toutes. Tagged with , , , , .

0 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

Some HTML is OK

(required)

(required, but never shared)

or, reply to this post via trackback.

Time limit is exhausted. Please reload CAPTCHA.


/* */
Creative Commons License
Cette création par Laurent Besson est mise à disposition selon les termes de la licence Creative Commons Paternité-Partage des Conditions Initiales à l'Identique 2.0 France.