Pages

jeudi 19 janvier 2012

Créer un certificat numérique SSL auto-signé

Testé sous Windows 7 Ultimate 64bits

Acheter un certificat numérique peut s'avérer très onéreux. Pour les développeurs n'ayant pas la possibilité ou l'envie de dépenser de l'argent pour certifier une application, il leur est possible de créer leur propre certificat numérique auto-signé.

Si vous voulez acheter un certificat, vous pouvez vous renseigner chez Thawte (http://www.thawte.fr) ou chez Verisign (http://www.verisign.fr)

Pour ce faire il suffit de télécharger l'outil OpenSSL disponible sur le site suivant :
http://www.slproweb.com/products/Win32OpenSSL.html
Vous y trouverez une version 32bit et une version 64 bits. Vous l'installez et vous pouvez commencer à créer votre propre certificat

Ci-dessous vous trouverez la méthode de création du certificat. Les 3 étapes décrites sont nécessaires. Dans le cas de l'exemple les fichiers créés commencent par Test. Il sera donc créés 6 fichiers :
- TestCA.key
- TestCA.crt
- TestICA.key
- TestICA.csr
- TestICA.crt
- Test.pfx

Vous devrez donc remplacer ces noms et les autres informations demandées par ce qui vous convient.

1. Créer un certificat CA

Le certificat CA est le certificat à installer dans "autorités de certification racines de confiance"

Ouvrez une prompt DOS (Démarrer -> Exécuter -> cmd -> OK)
Rendez-vous dans le répertoire BIN d'OpenSSL.
Tapez OpenSSL + [ENTER]
Créez la clé privée à l'aide de la commande :
genrsa -des3 -out TestCA.key 1024
Tapez le mot de passe demandé (2 fois). Dans l'exemple : testpass.
Créez la clé publique à l'aide de la commande :
req -new -x509 -days 365 -key TestCA.key -out TestCA.crt
365 désigne le nombre de jours de validité du certificat, vous pouvez bien sûr modifier ce paramètre.
Indiquez le mot de passe.
Indiquez les informations relatives à votre société.
- Country Name (ISO du pays)
- State or Province Name (Département ou province)
- Locality Name (Ville)
- Organization Name (Nom complet de votre société)
- Organization Unit Name (Nom de votre département)
- Common Name (Votre domaine)
- Email Adress (Adresse email)


2. Créer et signer un certificat ICA


Le certificat ICA est le certificat à installer dans "autorités de certification intermédiaires"

Toujours dans la prompt DOS.
Créez la clé privée à l'aide de la ligne de commande :
genrsa -des3 -out TestICA.key 1024
Tapez le mot de passe demandé (2 fois). Dans l'exemple : testpass.
Créez la demande de certificat pour signature par l'autorité racine CA à l'aide de la commande :
req -new -key TestICA.key -out TestICA.csr
Indiquez le mot de passe.
Indiquez les informations relatives à votre société.
Ensuite le système vous demande d'indiquez un "challenge password" et un "optional company name". Dans les deux cas, laissez blanc.
Signez la demande avec la racine CA et fabriquer une clé publique à l'aide de la commande :
x509 -req -days 365 -in TestICA.csr -CA TestCA.crt -CAkey TestCA.key -set_serial 01 -out TestICA.crt
Indiquez le mot de passe.


3. Créer le certificat personnel combiné (.pfx)


Le certificat .pfx est le certificat à installer dans "Personnel"

Créez le certificat combiné à l'aide de la commande :
pkcs12 -export -out Test.pfx -inkey TestICA.key -in TestICA.crt
Indiquez le mot de passe (3 fois).



Les fichiers générés se trouvent dans le répertoire "bin" d'OpenSSL.