Upload
fabian-vandendyck
View
35
Download
3
Embed Size (px)
Citation preview
Application Note
Génération de certificats SSL
Table des matières
Certificats : Introduction ............................................................................ 3
Installation d’OpenVPN et des scripts Easy-RSA ......................................... 3
Création des certificats ............................................................................... 4
Génération du certificat du CA (Autorité de Certification) ....................... 6
Génération du certificat du serveur VPN ................................................. 6
Génération du certificat du client VPN ..................................................... 7
Importation des certificats .................................................................... 10
Précaution : veillez à mettre à l’heure votre équipement avant de charger vos
certificats dedans.
Certificats : Introduction
Les certificats sont des fichiers informatiques qui participent à un processus d’authentification
et qui associent une clé publique à son propriétaire.
Le format standardisé est le X.509v3.
Dans le présent document, nous allons créer des certificats auto-signés grâce à Easy-RSA qui
est fourni avec OpenVPN. Ils serviront par la suite dans le cadre d’un fonctionnement interne,
typiquement pour la création de tunnels VPN SSL ou IPSec.
Installation d’OpenVPN et des scripts Easy-RSA
Télécharger OpenVPN pour Windows à partir du lien suivant :
https://openvpn.net/index.php/open-source/downloads.html
Remarque : au moment de la rédaction de ce document, la version est 2.3.4-I603 pour
Windows 32 bits.
Lors de l’installation, vous devez vous assurer que les scripts d’Easy-RSA et les utilitaires
d’OpenSSL sont bien validés.
Une fois l’installation terminée, vous trouverez dans le répertoire C:\Program Files\OpenVPN
le contenu suivant :
Création des certificats
Ouvrer une invite de commande en tant qu’administrateur et aller dans le répertoire easy-rsa.
Réinitialiser le fichier de configuration et le fichier des variables avec la commande
init-config.bat.
Modifier le fichier vars.bat avec un éditeur de texte tel que Notepad++. Celui-ci se trouve
dans le répertoire easy-rsa.
Ces champs de variables permettent d’identifier votre organisation.
Valider les paramètres que vous venez d’éditer et créer le répertoire keys où seront stockés les
différents certificats par les commandes vars.bat et clean-all.bat.
Le répertoire keys est créé avec 2 fichiers présents : index.txt et serial. Ceux-ci serviront à
répertorier les certificats créés avec leur numéro de série.
Remarque : si vous aviez déjà créé des certificats, alors la commande clean-all.bat aura pour
effet de remettre le répertoire keys en état initial. Tous les certificats seront alors effacés.
Génération du certificat du CA (Autorité de Certification)
Pour créer le certificat du CA, utiliser la commande build-ca.bat.
Laisser blanc les champs que vous voulez garder identique. Le champ Common Name doit
être rempli avec un nouvel identifiant pour chaque organisation ou projet.
Le certificat et la clé privée du CA sont créés dans le répertoire keys.
Génération du certificat du serveur VPN
La commande utilisée est build-key-server.bat suivi du nom du serveur.
Par exemple, pour un nouveau projet avec une architecture en étoile, vous pouvez identifier le
serveur VPN avec :
build-key-server.bat SiteCentral
Le champ Common Name doit être rempli avec le même nom que vous avez tapé dans la
commande.
Laisser vide le champ mot de passe.
Répondez par oui (yes) pour prendre en compte la demande d’émission et de signature du
certificat.
Génération du certificat du client VPN
La commande utilisée est build-key.bat suivi du nom du client.
Vous pouvez identifier le client avec le nom d’un site périphérique, auquel cas vous entrerez
par exemple la commande suivante :
build-key.bat SiteDistant
La génération des certificats se termine ici.
Vous pouvez alors les charger sur vos équipements.
Sur le routeur Serveur, vous aller donc importer : Server.crt, Server.key et ca.key.
Sur le Client, vous chargez : Client.crt, Client.key et ca.key.
Le format PKCS12 est plus pratique à utiliser puisqu’il regroupe en un seul fichier le certificat
et la clé du client ainsi que le certificat du CA. De plus, il peut être protégé par un mot de
passe.
La commande utilisée pour générer ce type de format est build-key-pkcs12.bat suivi du nom
du client.
Par exemple :
build-key-pkcs12.bat SiteDistant2
Pour exporter ce type de certificat dans votre équipement client VPN, rentrez le même mot de
passe que vous avez configuré précédemment.
Certains serveurs SSL requièrent en plus un fichier issu de l’opération Diffie-Hellman qui
permet l’échange sécurisé des clés.
Ce fichier est obtenu par la commande build-dh.bat.
Importation des certificats
Sur un routeur Falcon, l’importation se fait de la manière suivante.
Une fois que vous avez importé vos 3 fichiers, vous devez obtenir le tableau suivant :
Sur un routeur MRD, le chargement se fait avec un fichier de type PKCS12 (extension p12).
Si vous avez mis un mot de passe pour le protéger lors de la création du fichier p12, il vous le
sera demandé pour pouvoir le charger sur le routeur.