Avertissement

Vous lisez une ancienne version de cette documentation. Si vous souhaitez obtenir des informations actualisées, veuillez consulter 5.1 .

Comment générer un certificat SSL/TLS

Important

Cette section décrit comment générer un certificat TLS auto-signé à l’aide d’OpenSSL. Pour établir une connexion sécurisée dans un environnement de production, nous vous recommandons d’utiliser un certificat émis par une autorité de certification (Certificate Authority, CA).

Ce processus comprend cinq étapes : la génération d’une clé privée, son utilisation pour créer une demande de signature de certificat (Certificate Signing Request, CSR), la génération du certificat lui-même, l’ajout de la clé privée dans le fichier de certificat et l’insertion de ce dernier dans votre navigateur web.

1. Génération de la clé privée

Pour générer une clé privée, vous devez ouvrir une invite de commande/un terminal et entrer la commande suivante :

openssl genrsa -out <filename>.key 2048

où <filename> est le nom que vous souhaitez donner à cette clé privée. La sortie sera générée dans le répertoire à partir duquel vous exécutez cette commande.

Vous serez invité à saisir un mot de passe sécurisé pour la clé. Saisissez un mot de passe fort et mémorisez-le pour plus tard.

2. Création d’une CSR

Exécutez cette commande en remplaçant <filename> par le nom du fichier de votre clé et en saisissant les détails lorsque vous y êtes invité :

openssl req -new -key <filename>.key -out <filename>.csr

3. Génération du certificat

Enfin, vous pouvez exécuter cette dernière commande pour générer votre certificat auto-signé :

openssl x509 -req -days <days> -in <filename>.csr -signkey <filename>.key -out <filename>.pem

Le paramètre -days <days> est optionnel et vous permet de définir une période de validité pour votre certificat. Vous pouvez le supprimer si vous ne voulez pas que le certificat expire.

4. Ajout de la clé privée dans le fichier de certificat

Comme EYE+ attend un fichier unique contenant toutes les informations requises, vous devez copier le contenu du fichier <filename>.key que vous avez généré à l’étape 1 dans le fichier <filename>.pem de manière à ce qu’il se présente comme suit :

-----BEGIN CERTIFICATE-----
<Your certificate contents>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<Your private key>
-----END PRIVATE KEY-----

Remarque

Comme le fichier <filename>.pem contient dès lors la clé privée, il ne doit jamais être partagé avec qui que ce soit et doit être utilisé exclusivement avec EYE+.

5. Insertion du fichier dans votre navigateur web

Par défaut, les navigateurs modernes comprennent une liste d’autorités de certification de confiance et rejettent les certificats qui ne sont pas signés par l’une de ces autorités. Cela signifie que le certificat auto-signé que vous venez de générer provoquera un avertissement de sécurité. Vous devrez créer une exception de sécurité en choisissant l’option Accepter le risque et continuer (Firefox) ou Procéder vers l’adresse (non sécurisée) (Chrome) sous Avancé.

../../../_images/certificate_security_exception_firefox.png

Fig. 319 Exception de sécurité dans Firefox

../../../_images/certificate_security_exception_chrome.png

Fig. 320 Exception de sécurité dans Chrome