Mode d'emploi rapide de OpenSSL - gestion des clefs, certificats... Jérôme Petazzoni, skaya@enix.org Ce document permet de prendre en main rapidement le système OpenSSL de gestion de clefs publiques et privées. C'est le système utilisé, par exemple, dans le module SSL pour apache. On décrit rapidement les procédures de création de couple clef privée/clef publique, de génération de CSR (demande de certificat), ainsi que la marche à suivre pour être son propre CA (Certification Authority). Utilisateur simple

Pour sécuriser un site SSL, par exemple. Génération d'une clef avec passphrase

openssl genrsa -des3 -out monserveur.key 1024 Suppression de la ``pass phrase''

openssl rsa -in monserveur.key -out monserveur2.key Génération d'une clef sans passphrase

openssl genrsa -out monserveur.key Génération de CSR

openssl req -new -key ser.key -out ser.csr

Nom de pays = FR, État = rien, Ville = Paris, Organisation = nom de l'entreprise ou de l'organisme, nom d'unité = rien, common name = nom du site (www.truc.net), email = contact@truc.net, challenge = rien, nom de la société = rien.

Attention, il vaut mieux mettre un tiret "-" plutot que rien du tout, sinon le programme prend les valeurs par défaut. Devenir CA Générer sa clef

openssl genrsa -out ca.key 1024 Génération de CSR

openssl req -new -key ca.key -out ca.csr

Répondre comme précédemment S'auto signer

openssl x509 -req -in ca.csr -out ca.cert -signkey ca.key Signer une clef

openssl x509 -req -in ser.csr -out ser.crt -CA ca.cert -CAkey ca.key -CAserial ca.srl -CAcreateserial

le CAcreateserial n'est necessaire que la premiere fois.