Accueil du site > Wiki > Sécurité > Cryptographie

Génération d’un certificat SSL multi-domaines

vendredi 24 octobre 2008 par Maxence Fournier

Navigation rapide

Introduction

La problématique : Apache n’est pas capable de gérer plusieurs Common Name pour la même adresse IP pour différents vhost ! Il y a donc deux solutions. La première est qu’Apache est capable de gérer plusieurs certificats pour des domaines différents sur des adresses IP différentes. Pour cela, il faut configurer les vhosts de la façon suivante :



<VirtualHost 192.168.20.1:443>

ServerName test.domain.com 

....

SSLEngine on

SSLCertificateFile /PATH_TO_DIRECTORY/certificat1.crt

SSLCertificateKeyFile /PATH_TO_DIRECTORY/certificat1.key



....

<VirtualHost>





<VirtualHost 192.168.20.2:443>

ServerName test2.domain.com 

....

SSLEngine on

SSLCertificateFile /PATH_TO_DIRECTORY/certificat2.crt

SSLCertificateKeyFile /PATH_TO_DIRECTORY/certificat2.key



....

<VirtualHost>

Cependant cette technique est contraignante ! D’une part pour chaque nouveau site sécurisé vous devez créer une nouvelle sous-interface et d’autre part effectuer une modification de votre firewall (en fonction de votre configuration).

La seconde solution, plus pratique, est de générer un seul certificat pour l’ensemble des domaines et cela grâce à la directive subjectAltName qui indique au navigateur web de se référer au nom DNS du site (ce qui correspond à la directive apache ServerName).
Cela ne pose aucun problème dans la mesure où Internet Explorer et Mozilla Firefox sont conformes à la RFC 2818. C’est à dire qu’en l’absence de la directive subjectAltName, il évalue la directive Common Name et dans le cas contraire, celle-ci est ignorée.
Pour mettre en place cette solution, il faut mettre en place une infrastructure de type PKI. Le mot peut effrayer mais cela consiste dans notre cas à générer notre propre certificat racine et un certificat serveur. Le certificat racine sera auto-signé et c’est avec ce certificat racine que nous allons signer notre certificat serveur. Lors de la signature le certificat racine signera le certificat serveur pour les noms DNS que vous aurez renseigné dans la directive subjectAltName.

I - Pré requis

Installez le paquet openssl et ses dépendances :

Vérifiez que le module SSL pour Apache est bien activé.

II - Préparation de l’arborescence

Nous allons préparer l’arborescence nécessaire pour la génération des certificats.
Plaçons nous par exemple dans le répertoire /etc/apache2/ssl

Créez l’arborescence :

Le temps de la génération de nos certificats, le répertoire /etc/apache2/ssl ainsi que les répertoires enfants auront les droits suivants :

III - Création du fichier de configuration openssl.cnf

Pour une meilleure compréhension, je vais vous expliquer les directives du fichier séparément. Si vous souhaitez un template complet du fichier de configuration, vous pouvez le télécharger. Ce fichier est joint à la fin de cet article.

III - 1 La section pour le certificat racine

Ci-dessous, cette directive permet de faire référence dans le fichier de configuration à une autorité de certification Root (très utile si on veut gérer plusieurs autorités Root dans le même fichier de configuration).

Nous indiquons au sein de la section CA_default les différents emplacements des fichiers et répertoire de notre Root CA ainsi que diverses contraintes.

[ CA_default ]

#Emplacement où tout sera gardé (répertoire courant)
dir             = .                 

#Emplacement des certificats générés.           
certs           = $dir/certs                  

#Lieu par défaut des nouveaux certificats. 
new_certs_dir   = $dir/newcerts       

#Répertoire contenant les certificats révoqués (non utilisé ici)         
#crl_dir                = $dir/crl          

#Fichier contenant les certificats CA révoqués  (non utilisé ici) 
#crl                    = $dir/ca.crl          

database        = $dir/index.txt

#Certificat CA
certificate     = $dir/ca.pem                  

#Le numéro série courant
serial          = $dir/serial     

#La clé privée            
private_key     = $dir/private/ca.key

#La durée de validité du certificat en jour        
default_days    = 365                          
default_md      = sha1
preserve        = no
policy          = policy_match

#Numéro aléatoire pour la génération des certificats
RANDFILE                = $dir/private/.rand

Ensuite pour toutes nos autorités Root CA, nous avons les extensions et contraintes suivantes :

III - 2 La section pour le certificat serveur

Nous devons maintenant indiquer les extensions et les contraintes à appliquer lors de la génération de notre certificat serveur.

[ SERVEUR ]
nsComment                       = "Certificat serveur"
subjectKeyIdentifier            = hash
authorityKeyIdentifier          = keyid,issuer:always
issuerAltName                   = issuer:copy
basicConstraints                = critical,CA:FALSE

#Pour quel type d'usage est générée la clef
keyUsage                        = digitalSignature, nonRepudiation, keyEncipherment

#Certificat server ou client
nsCertType                      = server

#Authentification du serveur par l'intermédiaire de ce certificat
extendedKeyUsage                = serverAuth

#Par exemple si on souhaite également que ce certificat serveur permette l'authentification des clients.
#extendedKeyUsage       = serverAuth, clientAuth        

#LA PARTIE QUI NOUS INTÉRESSE POUR LE MULTI-DOMAINES. Ici on fait référence à notre section ALIASES
subjectAltName                  = @ALIASES