formations/diiage/C3-2_Sécurité_SI/20180323_TLS_SSL/tp.md

2.0 KiB

TP - Créer son autorité de certification avec les commandes OpenSSL

Contexte

La création d'une autorité de certification "personnelle" peut avoir son avantage au sein d'un réseau intranet.

Elle permet d'avoir une plus grande marge de manœuvre quant à la génération de certificats pour des services qui n'ont pas pour vocation à être accessibles depuis Internet.

C'est un bon compromis souplesse/sécurité si la CA est correctement gérée par l'équipe de production et les alertes de sécurité des navigateurs peuvent être supprimées si le certificat racine est déployé sur les postes des salariés.

Il est également possible via ce mécanisme de générer des certificats clients afin d'authentifier les services et/ou les postes des salariés de l'entreprise.

Consignes

En vous basant sur ce tutoriel, créez votre propre autorité de certification en utilisant les commandes OpenSSL.

Je vous conseille de partir sur une machine Ubuntu 16.04 fraîchement installée pour faire ces opérations.

Une fois votre CA installée et vos premiers certificats générés, testez les opérations suivantes:

  • Installez et configurer un serveur Apache2 pour qu'il utilise un certificat émis par votre CA. Vous pouvez vous baser sur ce tutoriel. Vérifiez que votre certificat est bien présenté par le serveur Apache lorsque vous vous connectez dessus avec votre navigateur.
  • Installez le certificat racine de votre CA dans votre navigateur et afficher à nouveau la page. L'avertissement du navigateur ne devrait plus s'afficher et votre certificat devrait être "approuvé" dans la barre d'adresse.
  • Révoquez le certificat du serveur Apache2 sur votre CA. Affichez à nouveau la page. Votre navigateur devrait vous afficher une nouvelle alerte.