SlideShare ist ein Scribd-Unternehmen logo

Génération de certificats SSL

Fabian Vandendyck
Fabian Vandendyck

Les certificats sont des fichiers informatiques qui participent à un processus d’authentification et qui associent une clé publique à son propriétaire.

Technologie
1 von 10
Downloaden Sie, um offline zu lesen
Application Note Génération de certificats SSL
Table des matières Certificats : Introduction ............................................................................ 3 Installation d’OpenVPN et des scripts Easy-RSA......................................... 3 Création des certificats ............................................................................... 4 Génération du certificat du CA (Autorité de Certification) ....................... 6 Génération du certificat du serveur VPN ................................................. 6 Génération du certificat du client VPN ..................................................... 7 Importation des certificats .................................................................... 10 Précaution : veillez à mettre à l’heure votre équipement avant de charger vos certificats dedans.
Certificats : Introduction Les certificats sont des fichiers informatiques qui participent à un processus d’authentification et qui associent une clé publique à son propriétaire. Le format standardisé est le X.509v3. Dans le présent document, nous allons créer des certificats auto-signés grâce à Easy-RSA qui est fourni avec OpenVPN. Ils serviront par la suite dans le cadre d’un fonctionnement interne, typiquement pour la création de tunnels VPN SSL ou IPSec. Installation d’OpenVPN et des scripts Easy-RSA Télécharger OpenVPN pour Windows à partir du lien suivant : https://openvpn.net/index.php/open-source/downloads.html Remarque : au moment de la rédaction de ce document, la version est 2.3.4-I603 pour Windows 32 bits. Lors de l’installation, vous devez vous assurer que les scripts d’Easy-RSA et les utilitaires d’OpenSSL sont bien validés.
Une fois l’installation terminée, vous trouverez dans le répertoire C:Program FilesOpenVPN le contenu suivant : Création des certificats Ouvrer une invite de commande en tant qu’administrateur et aller dans le répertoire easy-rsa. Réinitialiser le fichier de configuration et le fichier des variables avec la commande init-config.bat. Modifier le fichier vars.bat avec un éditeur de texte tel que Notepad++. Celui-ci se trouve dans le répertoire easy-rsa.
Ces champs de variables permettent d’identifier votre organisation. Valider les paramètres que vous venez d’éditer et créer le répertoire keys où seront stockés les différents certificats par les commandes vars.bat et clean-all.bat. Le répertoire keys est créé avec 2 fichiers présents : index.txt et serial. Ceux-ci serviront à répertorier les certificats créés avec leur numéro de série. Remarque : si vous aviez déjà créé des certificats, alors la commande clean-all.bat aura pour effet de remettre le répertoire keys en état initial. Tous les certificats seront alors effacés.
Génération du certificat du CA (Autorité de Certification) Pour créer le certificat du CA, utiliser la commande build-ca.bat. Laisser blanc les champs que vous voulez garder identique. Le champ Common Name doit être rempli avec un nouvel identifiant pour chaque organisation ou projet. Le certificat et la clé privée du CA sont créés dans le répertoire keys. Génération du certificat du serveur VPN La commande utilisée est build-key-server.bat suivi du nom du serveur. Par exemple, pour un nouveau projet avec une architecture en étoile, vous pouvez identifier le serveur VPN avec : build-key-server.bat SiteCentral
Le champ Common Name doit être rempli avec le même nom que vous avez tapé dans la commande. Laisser vide le champ mot de passe. Répondez par oui (yes) pour prendre en compte la demande d’émission et de signature du certificat. Génération du certificat du client VPN La commande utilisée est build-key.bat suivi du nom du client. Vous pouvez identifier le client avec le nom d’un site périphérique, auquel cas vous entrerez par exemple la commande suivante : build-key.bat SiteDistant
La génération des certificats se termine ici. Vous pouvez alors les charger sur vos équipements. Sur le routeur Serveur, vous aller donc importer : Server.crt, Server.key et ca.key. Sur le Client, vous chargez : Client.crt, Client.key et ca.key. Le format PKCS12 est plus pratique à utiliser puisqu’il regroupe en un seul fichier le certificat et la clé du client ainsi que le certificat du CA. De plus, il peut être protégé par un mot de passe. La commande utilisée pour générer ce type de format est build-key-pkcs12.bat suivi du nom du client. Par exemple : build-key-pkcs12.bat SiteDistant2
Pour exporter ce type de certificat dans votre équipement client VPN, rentrez le même mot de passe que vous avez configuré précédemment. Certains serveurs SSL requièrent en plus un fichier issu de l’opération Diffie-Hellman qui permet l’échange sécurisé des clés. Ce fichier est obtenu par la commande build-dh.bat.
Importation des certificats Sur un routeur Falcon, l’importation se fait de la manière suivante. Une fois que vous avez importé vos 3 fichiers, vous devez obtenir le tableau suivant : Sur un routeur MRD, le chargement se fait avec un fichier de type PKCS12 (extension p12). Si vous avez mis un mot de passe pour le protéger lors de la création du fichier p12, il vous le sera demandé pour pouvoir le charger sur le routeur.

Empfohlen

Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Madrid por Carlos y Sergio de 3D
Madrid por Carlos y Sergio de 3DMadrid por Carlos y Sergio de 3D
Madrid por Carlos y Sergio de 3DJuan Diego Peñas
 
Cedria v11 français
Cedria v11 françaisCedria v11 français
Cedria v11 françaisNOVATIVE
 
Falcon configuration ADSL
Falcon configuration ADSLFalcon configuration ADSL
Falcon configuration ADSLFabian Vandendyck
 
La humildad es el mejor regalo que nos
La humildad es el mejor regalo que nosLa humildad es el mejor regalo que nos
La humildad es el mejor regalo que noslaieneblog
 
Emplois
EmploisEmplois
Emploiscelina19
 
Intercambio mi casa para este verano el viajero en el país
Intercambio mi casa para este verano el viajero en el paísIntercambio mi casa para este verano el viajero en el país
Intercambio mi casa para este verano el viajero en el paísJose Ramon Macias Ballestero
 

Empfohlen

Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Madrid por Carlos y Sergio de 3D
Madrid por Carlos y Sergio de 3DMadrid por Carlos y Sergio de 3D
Madrid por Carlos y Sergio de 3DJuan Diego Peñas
 
Cedria v11 français
Cedria v11 françaisCedria v11 français
Cedria v11 françaisNOVATIVE
 
Falcon configuration ADSL
Falcon configuration ADSLFalcon configuration ADSL
Falcon configuration ADSLFabian Vandendyck
 
La humildad es el mejor regalo que nos
La humildad es el mejor regalo que nosLa humildad es el mejor regalo que nos
La humildad es el mejor regalo que noslaieneblog
 
Emplois
EmploisEmplois
Emploiscelina19
 
Intercambio mi casa para este verano el viajero en el país
Intercambio mi casa para este verano el viajero en el paísIntercambio mi casa para este verano el viajero en el país
Intercambio mi casa para este verano el viajero en el paísJose Ramon Macias Ballestero
 
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)Juan Diego Peñas
 
Weos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneWeos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneFabian Vandendyck
 
Carrière (is)
Carrière (is)Carrière (is)
Carrière (is)ashleyMacNair
 
Castelnau des Fieumarcon
Castelnau des FieumarconCastelnau des Fieumarcon
Castelnau des Fieumarconrentalys
 
Bon anniversaire thibaut
Bon anniversaire thibautBon anniversaire thibaut
Bon anniversaire thibautJean-Yves Picard
 
Weos nat et redirection de ports
Weos nat et redirection de portsWeos nat et redirection de ports
Weos nat et redirection de portsFabian Vandendyck
 
Présentation1
Présentation1Présentation1
Présentation1joshrichard29
 
Diapositivas
DiapositivasDiapositivas
DiapositivasMarce Forero
 
Razones trigonométricas
Razones trigonométricasRazones trigonométricas
Razones trigonométricasAntonio Manzano
 
Trasplantes
TrasplantesTrasplantes
TrasplantesMaría Caballero Valdés
 
Catalogue français urnafim 2012
Catalogue français urnafim 2012Catalogue français urnafim 2012
Catalogue français urnafim 2012URNAFIM
 
Estructura y conceptos_basicos
Estructura y conceptos_basicosEstructura y conceptos_basicos
Estructura y conceptos_basicosEduardo Alen
 
Projet carriére
Projet carriéreProjet carriére
Projet carriéreyilme
 
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)Juan Diego Peñas
 
Certifs x509
Certifs x509Certifs x509
Certifs x509hamduvski
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséSamiMessaoudi4
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)achraf_ing
 
Configurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneConfigurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneNovencia Groupe
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpnDimitri LEMBOKOLO
 

Weitere ähnliche Inhalte

Andere mochten auch

Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)Juan Diego Peñas
 
Weos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneWeos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneFabian Vandendyck
 
Castelnau des Fieumarcon
Castelnau des FieumarconCastelnau des Fieumarcon
Castelnau des Fieumarconrentalys
 
Weos nat et redirection de ports
Weos nat et redirection de portsWeos nat et redirection de ports
Weos nat et redirection de portsFabian Vandendyck
 
Razones trigonométricas
Razones trigonométricasRazones trigonométricas
Razones trigonométricasAntonio Manzano
 
Catalogue français urnafim 2012
Catalogue français urnafim 2012Catalogue français urnafim 2012
Catalogue français urnafim 2012URNAFIM
 
Estructura y conceptos_basicos
Estructura y conceptos_basicosEstructura y conceptos_basicos
Estructura y conceptos_basicosEduardo Alen
 
Projet carriére
Projet carriéreProjet carriére
Projet carriéreyilme
 
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)Juan Diego Peñas
 

Andere mochten auch (14)

Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
Doñana (Bárbara Bonillo, Elena Fernández, Lidia Baños)
 
Weos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneWeos 3G routeur vers Smartphone
Weos 3G routeur vers Smartphone
 
Carrière (is)
Carrière (is)Carrière (is)
Carrière (is)
 
Castelnau des Fieumarcon
Castelnau des FieumarconCastelnau des Fieumarcon
Castelnau des Fieumarcon
 
Bon anniversaire thibaut
Bon anniversaire thibautBon anniversaire thibaut
Bon anniversaire thibaut
 
Weos nat et redirection de ports
Weos nat et redirection de portsWeos nat et redirection de ports
Weos nat et redirection de ports
 
Présentation1
Présentation1Présentation1
Présentation1
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Razones trigonométricas
Razones trigonométricasRazones trigonométricas
Razones trigonométricas
 
Trasplantes
TrasplantesTrasplantes
Trasplantes
 
Catalogue français urnafim 2012
Catalogue français urnafim 2012Catalogue français urnafim 2012
Catalogue français urnafim 2012
 
Estructura y conceptos_basicos
Estructura y conceptos_basicosEstructura y conceptos_basicos
Estructura y conceptos_basicos
 
Projet carriére
Projet carriéreProjet carriére
Projet carriére
 
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
Ordesa y Monte Perdido (Jonathan Lebrón y Santiago Manrique)
 

Ähnlich wie Génération de certificats SSL

Certifs x509
Certifs x509Certifs x509
Certifs x509hamduvski
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséSamiMessaoudi4
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)achraf_ing
 
Configurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneConfigurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneNovencia Groupe
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008Arnaud Lesueur
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricGeoffrey DANIEL
 
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfRAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfSouf212
 
Apache ssl
Apache sslApache ssl
Apache sslGSI
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudJulien SIMON
 
Introduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreIntroduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreMSDEVMTL
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01ssleuropa
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debianyahyaf10
 

Ähnlich wie Génération de certificats SSL (20)

Certifs x509
Certifs x509Certifs x509
Certifs x509
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)
 
Configurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneConfigurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec une
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Serveur lamp
Serveur lampServeur lamp
Serveur lamp
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdfRAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
RAPPORT DU PREMIER MINI PROJET «FORUM DE CHAT» Novembre 2005.pdf
 
Apache ssl
Apache sslApache ssl
Apache ssl
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 
Introduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET CoreIntroduction à la sécurité dans ASP.NET Core
Introduction à la sécurité dans ASP.NET Core
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01
 
Guide pratique openssl sous debian
Guide pratique openssl sous debianGuide pratique openssl sous debian
Guide pratique openssl sous debian
 

Mehr von Fabian Vandendyck

Catalogue produits Westermo 2016
Catalogue produits Westermo 2016Catalogue produits Westermo 2016
Catalogue produits Westermo 2016Fabian Vandendyck
 
Westermo an weos_upgrade_v1_0
Westermo an weos_upgrade_v1_0Westermo an weos_upgrade_v1_0
Westermo an weos_upgrade_v1_0Fabian Vandendyck
 
WeOS création de réseaux et de réseaux virtuels VLAN
WeOS création de réseaux et de réseaux virtuels VLANWeOS création de réseaux et de réseaux virtuels VLAN
WeOS création de réseaux et de réseaux virtuels VLANFabian Vandendyck
 
Westermo product guide July 2015
Westermo product guide July 2015Westermo product guide July 2015
Westermo product guide July 2015Fabian Vandendyck
 
Westermo Edge network solutions
Westermo Edge network solutionsWestermo Edge network solutions
Westermo Edge network solutionsFabian Vandendyck
 
Westermo WeOS Multicast Tunneling
Westermo WeOS Multicast TunnelingWestermo WeOS Multicast Tunneling
Westermo WeOS Multicast TunnelingFabian Vandendyck
 
Fiche applicative WeOS manuel_simplifié - rev c
Fiche applicative WeOS manuel_simplifié - rev cFiche applicative WeOS manuel_simplifié - rev c
Fiche applicative WeOS manuel_simplifié - rev cFabian Vandendyck
 

Mehr von Fabian Vandendyck (16)

Catalogue produits Westermo 2016
Catalogue produits Westermo 2016Catalogue produits Westermo 2016
Catalogue produits Westermo 2016
 
Westermo an weos_upgrade_v1_0
Westermo an weos_upgrade_v1_0Westermo an weos_upgrade_v1_0
Westermo an weos_upgrade_v1_0
 
Weos routage dynamique OSPF
Weos routage dynamique OSPFWeos routage dynamique OSPF
Weos routage dynamique OSPF
 
WeOS création de réseaux et de réseaux virtuels VLAN
WeOS création de réseaux et de réseaux virtuels VLANWeOS création de réseaux et de réseaux virtuels VLAN
WeOS création de réseaux et de réseaux virtuels VLAN
 
Westermo product guide July 2015
Westermo product guide July 2015Westermo product guide July 2015
Westermo product guide July 2015
 
WeOS routage multicast
WeOS routage multicastWeOS routage multicast
WeOS routage multicast
 
Westermo Edge network solutions
Westermo Edge network solutionsWestermo Edge network solutions
Westermo Edge network solutions
 
WeOS Dual Homing
WeOS Dual HomingWeOS Dual Homing
WeOS Dual Homing
 
Westermo WeOS port security
Westermo WeOS port securityWestermo WeOS port security
Westermo WeOS port security
 
Westermo WeOS Multicast Tunneling
Westermo WeOS Multicast TunnelingWestermo WeOS Multicast Tunneling
Westermo WeOS Multicast Tunneling
 
Weos backup_clé_usb
Weos backup_clé_usbWeos backup_clé_usb
Weos backup_clé_usb
 
WeConfig boucle FRNT
WeConfig boucle FRNTWeConfig boucle FRNT
WeConfig boucle FRNT
 
Fiche applicative WeOS manuel_simplifié - rev c
Fiche applicative WeOS manuel_simplifié - rev cFiche applicative WeOS manuel_simplifié - rev c
Fiche applicative WeOS manuel_simplifié - rev c
 
Alarms management WeOS
Alarms management WeOSAlarms management WeOS
Alarms management WeOS
 
Falcon configuration ADSL
Falcon configuration ADSLFalcon configuration ADSL
Falcon configuration ADSL
 
Weos création d'une dmz
Weos création d'une dmzWeos création d'une dmz
Weos création d'une dmz
 

Génération de certificats SSL

  • 2. Table des matières Certificats : Introduction ............................................................................ 3 Installation d’OpenVPN et des scripts Easy-RSA......................................... 3 Création des certificats ............................................................................... 4 Génération du certificat du CA (Autorité de Certification) ....................... 6 Génération du certificat du serveur VPN ................................................. 6 Génération du certificat du client VPN ..................................................... 7 Importation des certificats .................................................................... 10 Précaution : veillez à mettre à l’heure votre équipement avant de charger vos certificats dedans.
  • 3. Certificats : Introduction Les certificats sont des fichiers informatiques qui participent à un processus d’authentification et qui associent une clé publique à son propriétaire. Le format standardisé est le X.509v3. Dans le présent document, nous allons créer des certificats auto-signés grâce à Easy-RSA qui est fourni avec OpenVPN. Ils serviront par la suite dans le cadre d’un fonctionnement interne, typiquement pour la création de tunnels VPN SSL ou IPSec. Installation d’OpenVPN et des scripts Easy-RSA Télécharger OpenVPN pour Windows à partir du lien suivant : https://openvpn.net/index.php/open-source/downloads.html Remarque : au moment de la rédaction de ce document, la version est 2.3.4-I603 pour Windows 32 bits. Lors de l’installation, vous devez vous assurer que les scripts d’Easy-RSA et les utilitaires d’OpenSSL sont bien validés.
  • 4. Une fois l’installation terminée, vous trouverez dans le répertoire C:Program FilesOpenVPN le contenu suivant : Création des certificats Ouvrer une invite de commande en tant qu’administrateur et aller dans le répertoire easy-rsa. Réinitialiser le fichier de configuration et le fichier des variables avec la commande init-config.bat. Modifier le fichier vars.bat avec un éditeur de texte tel que Notepad++. Celui-ci se trouve dans le répertoire easy-rsa.
  • 5. Ces champs de variables permettent d’identifier votre organisation. Valider les paramètres que vous venez d’éditer et créer le répertoire keys où seront stockés les différents certificats par les commandes vars.bat et clean-all.bat. Le répertoire keys est créé avec 2 fichiers présents : index.txt et serial. Ceux-ci serviront à répertorier les certificats créés avec leur numéro de série. Remarque : si vous aviez déjà créé des certificats, alors la commande clean-all.bat aura pour effet de remettre le répertoire keys en état initial. Tous les certificats seront alors effacés.
  • 6. Génération du certificat du CA (Autorité de Certification) Pour créer le certificat du CA, utiliser la commande build-ca.bat. Laisser blanc les champs que vous voulez garder identique. Le champ Common Name doit être rempli avec un nouvel identifiant pour chaque organisation ou projet. Le certificat et la clé privée du CA sont créés dans le répertoire keys. Génération du certificat du serveur VPN La commande utilisée est build-key-server.bat suivi du nom du serveur. Par exemple, pour un nouveau projet avec une architecture en étoile, vous pouvez identifier le serveur VPN avec : build-key-server.bat SiteCentral
  • 7. Le champ Common Name doit être rempli avec le même nom que vous avez tapé dans la commande. Laisser vide le champ mot de passe. Répondez par oui (yes) pour prendre en compte la demande d’émission et de signature du certificat. Génération du certificat du client VPN La commande utilisée est build-key.bat suivi du nom du client. Vous pouvez identifier le client avec le nom d’un site périphérique, auquel cas vous entrerez par exemple la commande suivante : build-key.bat SiteDistant
  • 8. La génération des certificats se termine ici. Vous pouvez alors les charger sur vos équipements. Sur le routeur Serveur, vous aller donc importer : Server.crt, Server.key et ca.key. Sur le Client, vous chargez : Client.crt, Client.key et ca.key. Le format PKCS12 est plus pratique à utiliser puisqu’il regroupe en un seul fichier le certificat et la clé du client ainsi que le certificat du CA. De plus, il peut être protégé par un mot de passe. La commande utilisée pour générer ce type de format est build-key-pkcs12.bat suivi du nom du client. Par exemple : build-key-pkcs12.bat SiteDistant2
  • 9. Pour exporter ce type de certificat dans votre équipement client VPN, rentrez le même mot de passe que vous avez configuré précédemment. Certains serveurs SSL requièrent en plus un fichier issu de l’opération Diffie-Hellman qui permet l’échange sécurisé des clés. Ce fichier est obtenu par la commande build-dh.bat.
  • 10. Importation des certificats Sur un routeur Falcon, l’importation se fait de la manière suivante. Une fois que vous avez importé vos 3 fichiers, vous devez obtenir le tableau suivant : Sur un routeur MRD, le chargement se fait avec un fichier de type PKCS12 (extension p12). Si vous avez mis un mot de passe pour le protéger lors de la création du fichier p12, il vous le sera demandé pour pouvoir le charger sur le routeur.