Générez une CA locale, signez un certificat serveur et vérifiez la chaîne.
objectifs d’apprentissage
- Créer une CA.
- Signer un CSR.
- Vérifier la validité.
prérequis
- openssl installé.
- Éditeur.
notions clés
- CSR.
- SAN.
- Chaîne de confiance.
démonstration guidée
étape 1
Créer une CA et un certificat signé.
openssl genrsa -out ca.key 4096
openssl req -x509 -new -key ca.key -subj "/CN=CA locale" -days 365 -out ca.crt
openssl req -new -newkey rsa:2048 -nodes -keyout srv.key -subj "/CN=example.local" -out srv.csr
openssl x509 -req -in srv.csr -CA ca.crt -CAkey ca.key -CAcreateserial -days 180 -out srv.crtétape 2
Vérifier la chaîne et les SAN.
openssl x509 -in srv.crt -noout -text | sed -n '1,20p'exercice
Ajoutez un SAN DNS:app.local et resignez le certificat.
correction
Utiliser un fichier ext.
printf 'subjectAltName=DNS:app.local' > ext.cnf
openssl x509 -req -in srv.csr -CA ca.crt -CAkey ca.key -days 180 -extfile ext.cnf -out srv.crtquiz éclair
- Quel fichier porte la clé privée de la CA ?
- a) ca.key
- b) ca.crt
- c) srv.key