EasyRSA permet de déployer rapidement une chaîne de certification, pratique pour les administrateurs apache/IGC.
| Appli | Description | Type de lien |
|---|---|---|
| EasyRSA 3.0.1 windows x64 full | Chaîne CA, prête à l’emploi | Mega.nz |
| EasyRSA 2.2.2 linux | Chaîne CA, prête à l’emploi, extraite du paquet archlinux easy-rsa | Mega.nz |
Que vous soyez sous windows x64 ou linux, ces archives vous permettront de déployer votre propre chaîne CA.
Pour les fans, utilisation d’openssl en ligne de commande non-interactive pour scripter:
–génération d’un random (non nécessaire, -rand peut être utilisé seul):
# rendez-vous chez ssl
cd /etc/ssl
# générez le random
dd if=/dev/urandom of=.rand bs=1k count=16
–génération d’une clé privée et du certificat associé en même temps:
# générez une clé privée et une csr associée de manière non-interactive:
openssl req -config modele_de_requete.cnf -rand private/.rand -newkey rsa:2048 -passout pass:password -keyout SERVER.key -passin pass:password -out SERVER.csr -subj « /C=NL/ST=Zuid Holland/L=Rotterdam/O=Sparkling Network/OU=IT Department/CN=ssl.raymii.org/emailAddress=admin@society.fr »
-passout pass:password
fournit la passphrase pour générer la clé privée
-passin pass:password
fournit la passphrase utilisée précédemment pour générer la clé privée
-subj
fournit les paramètre pour la csr
pass:password peut être remplacé par file:fichier.txt pour spécifier un fichier contenant la passphrase à utiliser et ainsi augmenter la sécurité à condition de placer les bons droits sur la fichier de passphrase. la passphrase par pass: peut être récupérée par l’history ou directement par un autre processus.
-passout et -passin peuvent être remplacés par -nodes (une seule fois) ce qui générera une clé privée sans passphrase:
openssl req -nodes -config modele_de_requete.cnf -rand private/.rand -newkey rsa:2048 -keyout SERVER.key -out SERVER.csr -subj « /C=NL/ST=Zuid Holland/L=Rotterdam/O=Sparkling Network/OU=IT Department/CN=ssl.raymii.org/emailAddress=admin@society.fr »
–génération d’un certificat autosigné:
openssl req -x509 -newkey rsa:2048 -keyout SERVER.key -out SERVER.crt -days 3650
de la même manière vous pouvez rajouter -nodes, -subj…