Onglet Certificats ssl : gestion des certificats SSL
- Certificat de type Let's Encrypt
- Certificat de type autosigné et manuel
- Certificats par défaut
- Mise en place d'un certificat particulier
- Paramètres SSL
- Sujet du certificat
- Nom DNS alternatif
- Création de nouveaux certificats
- Re-génération des certificats
- Création de nouveaux certificats
- Re-génération des certificats
- Obtention d'un certificat signé par l'IGC de l’Éducation nationale
- Certificats intermédiaires
La gestion des certificats a été standardisée afin de faciliter leur mise en œuvre.
Le choix du type de certificat à mettre en place sur le serveur s'effectue dans l'onglet Général.
Certificat de type Let's Encrypt
L'autorité de certification Let's Encrypt[1] permet de mettre en place, gratuitement, des certificats dont la distribution et le renouvellement sont automatisés.
Vous pouvez à présent gérer des certificats Let's Encrypt pour des serveurs accessibles depuis Internet ou au travers d'un proxy inverse.
Serveurs accessibles depuis Internet ou au travers d'un proxy inverse
L'utilisation de certificats Let's Encrypt requiert l'utilisation de noms DNS connus d'Internet.
Le certificat sera fait au nom résultant de la concaténation du nom de la machine et du nom de DNS local.
Seule la variable Mode de fonctionnement du client Let's Encrypt nécessite un paramétrage en fonction de l'accessibilité du serveur :
accessible depuis Internet → utiliser la valeur
standalone;accessible au travers d'un proxy inverse → utiliser la valeur
webroot.
Nom DNS supplémentaires
Il est possible de faire des requêtes supplémentaires pour d'autres noms DNS connus d'Internet en renseignant la variable Nom de domaines supplémentaires.
Remarque
Il y aura autant de certificats supplémentaires que de noms DNS déclarés dans la variable Nom de domaines supplémentaires.
Certificat de type autosigné et manuel
Certificats par défaut
Un certain nombre de certificats sont mis en place lors de la mise en œuvre d'un module EOLE :
-
/etc/ssl/certs/ca_local.crt: autorité de certification propre au serveur (certificats auto-signés) ; -
/etc/ssl/private/ca.key: clef privée de la CA ci-dessus ; /etc/ssl/certs/ACInfraEducation.pem: contient les certificats de la chaîne de certification de l'Éducation nationale (igca/education/infrastructure) ;-
/etc/ssl/req/eole.p10: requête de certificat au format pkcs10, ce fichier contient l'ensemble des informations nécessaires à la génération d'un certificat ; -
/etc/ssl/certs/eole.crt: certificat serveur généré par la CA locale, il est utilisé par les applications (apache, ead2, eole-sso, ...) ; -
/etc/ssl/certs/eole.key: clé du certificat serveur ci-dessus.
Après génération de la CA locale, un fichier /etc/ssl/certs/ca.crt est créé qui regroupe les certificats suivants :
-
ca_local.crt; ACInfraEducation.pem;- tout certificat présent dans le répertoire
/etc/ssl/local_ca.