OpenSSL / Certificat.P12





Nous utilisons l'application OpenSSL implémentée dans le programme d'OpenVPN.


Si vous ne désirez pas faire de VPN ou ne pas utiliser OpenVPN, vous pouvez télécharger la version 0.9.8 d'openSSL en cliquant sur ce lien: Win32OpenSSL-v0.9.8




Nous allons dans le répertoire /OpenVPN/bin pour y copier la console de Microsoft "cmd.exe", on en aura encore besoin pour la configuration du VPN.




C:\windows\system32\cmd.exe






Les commandes pour la création des certificats




Toutes les commande qui suivent sont à saisir dans cmd.exe:


  • Openssl req -new -out NomduCA.req -keyout NomduCA.key




  • Saisir un mot de passe



    Il faut saisir un mot de passe puis le confirmer. Nous devons maintenant renseigner les champs pour la construction du certificat:




    Saisir les informations



  • Openssl x509 -req -in NomduCA.req -signkey NomduCA.key -out NomduCA.crt -days 365




  • Durée de validité



    Le mot de passe à saisir est le premier que nous avons entré (PEM pass phrase).


  • Openssl req -new -out NomCertificatClient.req -keyout NomCertificatClient.key




  • Certificat client



    Même scénario que précédemment, il faut remplir les informations concernant le deuxième certificat, celui du client.


  • Openssl x509 -req -in NomCertificatClient.req -out NomCertificatClient.crt -CA NomduCA.crt -CAkey NomduCA.key -CAcreateserial -days 365




  • Durée du certificat et précision sur l'autorité de certification



    Le certificat client a été renseigné par l'autorité de certification et a reçu une durée limitée à 1 an.




  • Openssl pkcs12 -export -inkey NomCertificatClient.key -in NomCertificatClient.crt -out NomCertificatClient.p12 -certfile NomduCA.crt




  • Certificat.p12



    Nous avons terminé la réalisation du certificat.p12, construit sur la base de l'autorité de certification et du certificat client.




    Les fichiers et certificats résultant des commandes




    Nous retournons dans /openVPN/bin :


    Résultat



    Les fichiers qui nous concernent pour la réalisation du tunnel sous OpenVPN sont:

    - Le certificat pkcs12 pour le client, dans notre exemple, Client.p12
    - Le certificat de l'autorité de certification (CA), dans notre exemple, sghilardi.crt
    - Le certificat distribué au client, dans notre exemple, Client.crt
    - La clé du certificat client, dans notre exemple, Client.key

    Nous avons donné un mot de passe pour le certificat Client, c'est ce mot de passe qui sera demandé pour établir le tunnel. Nous verrons qu'il est possible au client d'en changer...




    La création des certificats par OpenSSL est terminée. Nous allons les exploiter dans le cadre d'un VPN en configuration Client / Serveur.En cliquant sur l'image qui suit vous allez à la procédure d'OpenVPN C/S.




    *