Étape 3: Création de paire de certificat de client/serveur utilisant OpenSSL
Ouvrez une fenêtre de terminal sur Mac et se connecter sur le Raspberry Pi :
Supprimer les clés de fait à l’étape précédente :
Générer l’autorité de certification (CA)
Avant de créer le certificat de client/serveur, configurer une autorité de certificat auto-signé (CA), qui peut être utilisé pour signer les certificats de client/serveur. Une fois créé, le cert CA agira comme l’autorité approuvée de fois votre serveur et les certificats clients (ou certificats).
Produit : ca.cer, ca.key
Générer le certificat et la clé SSL pour le serveur Apache
Générer server.key :
Générer une demande de génération de certificat.
Utilisez la requête de génération de certificat et le cert CA pour générer le certificat de serveur
Nettoyage – maintenant que le cert a été créé, nous ne devons plus la demande.
Installez le certificat du serveur Apache
Copiez le cert CA un lieu permanent. Nous vous devrez spécifier notre CA cert dans Apache car c’est une auto généré CA et pas celui qui est inclus dans les systèmes d’exploitation dans le monde.
Copiez le certificat de serveur et une clé privée lieu permanent.
Activer le module SSL dans Apache.
Activer le site SSL dans Apache
Désactiver le site HTTP
Modifier le fichier de configuration pour le site SSL est activé et ajoutez les lignes suivantes :
Appliquer la configuration d’Apache.
Dès maintenant si vous visitez votre site https, vous obtiendrez une erreur SSL semblable à « pair SSL n’a pas pu négocier un ensemble de paramètres de sécurité acceptables ». C’est bon-cela signifie que votre site n’acceptera pas une connexion à moins que votre navigateur utilise un certificat client approuvé. Nous allons maintenant générer un.
Générer un certificat de client SSL
Générez une clé privée pour le client SSL.
Utiliser la clé privée du client pour générer une demande de cert.
Délivrer le certificat client à l’aide de la demande de cert et la CA cert/clé.
Convertir le certificat client et la clé privée au format pkcs #12 à utiliser par les navigateurs.
Nettoyer – enlever la clé privée du client, le client cert et le fichiers de demandes client comme le pkcs12 a tout le nécessaire.