Comment créer un certificat auto-signé avec OpenSSL

Les certificats SSL/TLS sont essentiels pour sécuriser votre application Web ou votre serveur. Bien que plusieurs autorités de certification fiables fournissent des certificats SSL/TLS moyennant un coût, il est également possible de générer un certificat auto-signé à l'aide d'OpenSSL. Même si les certificats auto-signés n'ont pas l'approbation d'une autorité de confiance, ils peuvent toujours chiffrer votre trafic Web. Alors, comment pouvez-vous utiliser OpenSSL pour générer un certificat auto-signé pour votre site Web ou votre serveur ?

Comment installer OpenSSL

OpenSSL est un logiciel open source. Mais si vous n'avez pas d'expérience en programmation et que vous vous inquiétez des processus de construction, il y a un peu de configuration technique. Pour éviter cela, vous pouvez télécharger la dernière version du code d'OpenSSL, entièrement compilée et prête à installer, à partir de le site de slproweb.

Ici, sélectionnez l'extension MSI de la dernière version d'OpenSSL adaptée à votre système.

Par exemple, considérez OpenSSL à D:\OpenSSL-Win64. Vous pouvez changer cela. Si l'installation est terminée, ouvrir PowerShell en tant qu'administrateur et accédez au sous-dossier nommé poubelle dans le dossier où vous avez installé OpenSSL. Pour ce faire, utilisez la commande suivante :

CD'D:\OpenSSL-Win64\bin'

Vous avez maintenant accès à openssl.exe et pouvez l'exécuter comme vous le souhaitez.

Générez votre clé privée avec OpenSSL

Vous aurez besoin d'une clé privée pour créer un certificat auto-signé. Dans le même dossier bin, vous pouvez créer cette clé privée en entrant la commande suivante dans PowerShell une fois que vous avez ouvert en tant qu'administrateur.

ouvre SSL.exegénéral-des3-dehorsmaCléPrivée.clé 2048

Cette commande générera une clé privée RSA cryptée 3DES de 2048 bits via OpenSSL. OpenSSL vous demandera d'entrer un mot de passe. Vous devriez utiliser un mot de passe fort et mémorable. Après avoir saisi deux fois le même mot de passe, vous aurez généré avec succès votre clé privée RSA.

Vous pouvez trouver votre clé RSA privée avec le nom myPrivateKey.key.

Comment créer un fichier CSR avec OpenSSL

La clé privée que vous créez ne suffira pas à elle seule. De plus, vous avez besoin d'un fichier CSR pour créer un certificat auto-signé. Pour créer ce fichier CSR, vous devez saisir une nouvelle commande dans PowerShell :

ouvre SSL.exedemande-nouveau-clémaCléPrivée.clé-dehorsmaRequêteCert.csr

OpenSSL vous demandera également le mot de passe que vous avez entré pour générer la clé privée ici. Il demandera en outre vos informations légales et personnelles. Attention à saisir correctement ces informations.

De plus, il est possible de faire toutes les opérations jusqu'à présent avec une seule ligne de commande. Si vous utilisez la commande ci-dessous, vous pouvez générer à la fois votre clé RSA privée et le fichier CSR :

ouvre SSL.exedemande-nouveau-nouvelle cléRSA:2048-nœuds-keyoutmaCléPrivée2.clé-dehorsmaRequêteCert2.csr

Vous pourrez maintenant voir le fichier nommé myCertRequest.csr dans le répertoire concerné. Ce fichier CSR que vous créez contient des informations sur :

• L'institution qui demande le certificat.
• Nom commun (c'est-à-dire nom de domaine).
• Clé publique (à des fins de chiffrement).

Les fichiers CSR que vous créez doivent être examinés et approuvés par certaines autorités. Pour cela, vous devez envoyer le fichier CSR directement à l'autorité de certification ou à d'autres institutions intermédiaires.

Ces autorités et maisons de courtage examinent si les informations que vous fournissez sont correctes, en fonction de la nature du certificat que vous souhaitez. Vous devrez peut-être également envoyer certains documents hors ligne (fax, courrier, etc.) pour prouver si les informations sont correctes.

Préparation du certificat par une autorité de certification

Lorsque vous envoyez le fichier CSR que vous avez créé à une autorité de certification valide, l'autorité de certification signe le fichier et envoie le certificat à l'institution ou à la personne qui en fait la demande. Ce faisant, l'autorité de certification (également appelée CA) crée également un fichier PEM à partir des fichiers CSR et RSA. Le fichier PEM est le dernier fichier requis pour un certificat auto-signé. Ces étapes garantissent que Les certificats SSL restent organisés, fiables et sécurisés.

Vous pouvez également créer vous-même un fichier PEM avec OpenSSL. Cependant, cela peut présenter un risque potentiel pour la sécurité de votre certificat car l'authenticité ou la validité de ce dernier n'est pas claire. De plus, le fait que votre certificat ne soit pas vérifiable peut l'empêcher de fonctionner dans certaines applications et certains environnements. Donc, pour cet exemple de certificat auto-signé, nous pouvons utiliser un faux fichier PEM, mais, bien sûr, ce n'est pas possible dans le monde réel.

Pour l'instant, imaginez un fichier PEM nommé myPemKey.pem provient d'une autorité de certification officielle. Vous pouvez utiliser la commande suivante pour créer un fichier PEM pour vous-même :

ouvre SSLx509-req-sha256-jours 365 -dansmaRequêteCert.csr-signkeymaCléPrivée.clé-dehorsmaCléPem.pem

Si vous aviez un tel fichier, la commande que vous devriez utiliser pour votre certificat auto-signé serait :

ouvre SSL.exex509-req-jours 365 -dansmaRequêteCert.csr-signkeymaCléPem.pem-dehorsmySelfSignedCert.cer

Cette commande signifie que le fichier CSR est signé avec une clé privée nommée myPemKey.pem, valable 365 jours. En conséquence, vous créez un fichier de certificat nommé mySelfSignedCert.cer.

Informations sur le certificat auto-signé

Vous pouvez utiliser la commande suivante pour vérifier les informations sur le certificat auto-signé que vous avez créé :

ouvre SSL.exex509-noout-texte-dansmySelfSignedCert.cer

Cela vous montrera toutes les informations contenues dans le certificat. Il est possible de voir beaucoup d'informations telles que l'entreprise ou des informations personnelles, et les algorithmes utilisés dans le certificat.

Que se passe-t-il si les certificats auto-signés ne sont pas signés par l'autorité de certification?

Il est essentiel d'auditer les certificats auto-signés que vous créez et de confirmer qu'ils sont sécurisés. Un fournisseur de certificats tiers (c'est-à-dire une autorité de certification) le fait généralement. Si vous ne disposez pas d'un certificat signé et approuvé par une autorité de certification tierce et que vous utilisez ce certificat non approuvé, vous rencontrerez des problèmes de sécurité.

Les pirates peuvent utiliser votre certificat auto-signé pour créer une fausse copie d'un site Web, par exemple. Cela permet à un attaquant de voler les informations des utilisateurs. Ils peuvent également obtenir les noms d'utilisateur, les mots de passe ou d'autres informations sensibles de vos utilisateurs.

Pour garantir la sécurité des utilisateurs, les sites Web et autres services doivent généralement utiliser des certificats qui sont effectivement certifiés par une autorité de certification. Cela garantit que les données de l'utilisateur sont cryptées et se connectent au bon serveur.

Création de certificats auto-signés sous Windows

Comme vous pouvez le voir, créer un certificat auto-signé sous Windows avec OpenSSL est assez simple. Mais gardez à l'esprit que vous aurez également besoin de l'approbation des autorités de certification.

Néanmoins, la création d'un tel certificat montre que vous prenez la sécurité des utilisateurs au sérieux, ce qui signifie qu'ils vous feront davantage confiance, à vous, à votre site et à votre marque globale.