Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sysadmin:linux:gestion_certificats:creation_des_csr [2021/10/27 16:19] – yoann
+++ sysadmin:linux:gestion_certificats:creation_des_csr [2021/10/27 23:17] (Version actuelle) – yoann
@@ Ligne 116: / Ligne 116: @@
 </code>
+===== Le certificat SAN =====
+Un certificat **SAN** (abrégeant **S**ubject **A**lternative **N**ame) peut être utilisé sur de multiples noms de domaines par exemple abc.com ou xyz.com où les noms de domaines sont complètement différents mais pourront utiliser ce même certificat.
+  * De multiples noms peuvent être associés au certificat
+  * On définit une liste dadresse IP ou ed noms de domaines qui pourront être utilisés en lieu et place du champ ''Common Name''.
+<note>
+On parle parfois de certificat wilcard
+</note>
+Avant de pouvoir créer des certificats SAN il est nécessaire d'ajouter certaines valeurs à la configuration des listes d'extensions x509 d'openssl.
+<file conf CSR_SAN.cnf>
+# Fichiers de configuration des demandes de certificats
+# Certificate Signing Request (CSR)
+[ req ]
+# définitions des options de  l'argument openssl req
+default_bits        = 2048
+distinguished_name  = distinguished_name
+string_mask         = utf8only
+# SHA-1 is deprecated, so use SHA-2 instead.
+default_md          = sha256
+req_extensions      = req_ext_san
+# Extension to add when the -x509 option is used.
+#x509_extensions     = v3_ca
+[ distinguished_name ]
+countryName                     = Country Name (2 letter code)
+countryName_default             = FR
+countryName_min                 = 2
+countryName_max                 = 2
+stateOrProvinceName             = State or Province Name
+stateOrProvinceName_default     = France
+localityName                    = Locality Name
+localityName_default            = Haute Garonne
+.organizationName              = Organization Name
+.organizationName_default      = Mairie de Tournefeuille
+organizationalUnitName          = Organizational Unit Name
+organizationalUnitName_default  = Labo Informatique
+emailAddress                    = Email Address
+emailAddress_default            = administrateur@mairie-tournefeuille.fr
+commonName                      = Common Name (user name, hostname or FQDN)
+commonName_max                  = 64
+[ req_ext_san ]
+subjectAltName = @alt_names
+[alt_names]
+IP.1 = 127.0.0.1
+DNS.1 = fbaea6818592
+DNS.2 = localhost
+DNS.3 = node-7c87
+</file>
+La commande de signature du CSR avec SAN diffère, on spécifie le fichier avec les extensions à intégrer:
+<code bash>
+openssl x509 -req -days 90 -in csr/local.csr -CA certs/intermediate_ca.cert.pem -CAkey private/intermediate_ca.key -CAcreateserial -extfile server_san_ext.cnf -out certs_x509/local.crt
+</code>
+===== Références =====
+  * https://www.golinuxcloud.com/openssl-generate-csr/
+  * https://www.golinuxcloud.com/openssl-generate-csr-create-san-certificate/
+  * https://www.golinuxcloud.com/things-to-consider-when-creating-csr-openssl/
+  * https://fabianlee.org/2018/02/17/ubuntu-creating-a-self-signed-san-certificate-using-openssl/
+  * https://techbrahmana.blogspot.com/2013/10/creating-wildcard-self-signed.html

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page