1: Pourquoi faire ça?

Transcription

1 Table des matières 1: Pourquoi faire ça?...1 2: Présentation des techniques employées:...1 3: Créer son autorité de certification et des certificats pour les deux sites en https...2 l autorité de certification : Configuration : Editer le fichier /srv/ssl/openssl.conf et modifiez les parametres suivants: : Clé privée certificat et signature...3 Publier le certificat de l autorité de certification : Enregistrez le certificat dans le magasin de confiance de votre ordinateur local : Créer un certificat pour le serveur Web home.tinad.fr : Créer un certificat pour le serveur Web prive.tinad.fr...5 4: Configuration du serveur web : configuration des vhost : vi /etc/apache2/sites-available/home.tinad.fr : vi /etc/apache2/sites-available/home.tinad.fr-https : vi /etc/apache2/sites-available/prive.tinad.fr-https : Activation des vhost: : Créer un couple certificat-clé client (fichier PKCS#12):...7 5: Révoquer un certificat:...9 1: Pourquoi faire ça? A moins de s appeler le trésor public [1], cette sécurité peut paraître exagérée. Ça va me servir dans quelques semaines à sécuriser une appli web du travail pour laquelle seuls une dizaine d utilisateurs auront accès depuis l extérieur (via un reverse proxy apache). 2: Présentation des techniques employées: La configuration se fait au niveau d apache et du module SSL. Ce n est pas compliqué, Mais c est chiant à expliquer de façon claire. J en suis à la troisième re-rédaction de ce billet pour tenter d éclaircir les explications. Ce billet contient tout un mémo de création d une chaine de certification avec openssl et un peu de config Apache. Sur le serveur (mon Raspberry pi), je vais créer trois sites virtuels (VHOST) dans la configuration d apache: home.tinad.fr (en http) home.tinad.fr (en https) prive.tinad.fr (en https, avec obligation pour l utilisateur de posséder un certificat personnel signé par l autorité de certification qu on va créer):

2 3: Créer son autorité de certification et des certificats pour les deux sites en https l autorité de certification Malheureusement, il n est pas possible d obtenir un certificat ayant le rôle "autorité de certification" reconnu par tous les navigateurs. On devra faire en sorte que les utilisateurs ajoutent notre certificat dans leur navigateur. Je ne détaillerai pas ici comment faire, mais il voici trois pistes: Créer une page web intermédiaire fournissant le certificat, et expliquant comment et pourquoi l installer Si les utilisateurs sont dans un réseau sur lequel on est l administrateur réseau : Via une GPO. Offrir une boite de kinder chocolat à l administrateur réseau pour qu il fasse une GPO. L installer manuellement sur tous les postes.

3 3.1.1: Configuration #On créé l'architecture de dossiers et fichiers nécessaires à une gestion des #clés et certificats dans le repertoire /srv/ssl mkdir /srv/ssl mkdir certs crl newcerts private echo 01 > serial touch index.txt echo 01 > crlnumber cp /usr/lib/ssl/openssl.cnf : Editer le fichier /srv/ssl/openssl.conf et modifiez les parametres suivants: dir=/srv/ssl Dans le bloc [req_distinguished_name] :. countryname_default stateorprovincename_default = FR = France 3.1.3: Clé privée certificat et signature #Créer une clé privée openssl genrsa -des3 -out private/cakey.pem 4096 #certif signé openssl req -config openssl.cnf -new -x509 -nodes -sha1 -days key private/cakey.pem -out cacert.pem Adaptez les réponses en fonction,s de votre site, mais ne mettez pas le FDQN dans le common name. Il s agit du certificat autorité, pas celui de votre site web. Voici mon retour écran: root@raspberrypi:/srv/ssl# openssl req -config openssl.cnf -new -x509 -nodes -sha1 -days key private/cakey.pem -out cacert.pem Enter pass phrase for private/cakey.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) []:Rouen Organization Name (eg, company) [Internet Widgits Pty Ltd]:tinad Organizational Unit Name (eg, section) []:Gnieark Common Name (e.g. server FQDN or YOUR name) []:tinad.fr Address []:gnieark@free.fr

4 Publier le certificat de l autorité de certification cp /srv/ssl/cacert.pem /var/www/cacert.crt (Lors de la copie, on change l extension.pem en.crt, car.crt est un type mime connu dans la configuration standard d apache) 3.1.5: Enregistrez le certificat dans le magasin de confiance de votre ordinateur local Ouvrez tout simplement votre navigateur à l URL et cochez toutes les cases: 3.2: Créer un certificat pour le serveur Web home.tinad.fr changez "home.tinad.fr" par le FDQN de votre serveur pour la suite des tests. #Création de la clé privée pour home.tinad.fr openssl genrsa -des3 -out home.tinad.fr.key.pem 4096 #demande de certificat: openssl req -config openssl.cnf -new -key home.tinad.fr.key.pem -out home.tinad.fr.csr.pem Voici mon retour écran: root@raspberrypi:/srv/ssl# openssl req -config openssl.cnf -new -key home.tinad.fr.key.pem -out home.tinad.fr.csr.pem Enter pass phrase for home.tinad.fr.key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) []:Rouen Organization Name (eg, company) [Internet Widgits Pty Ltd]:tinad Organizational Unit Name (eg, section) []:home Common Name (e.g. server FQDN or YOUR name) []:home.tinad.fr Address []:gnieark@free.fr Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Signature de la demande: openssl ca -config openssl.cnf -policy policy_anything -out home.tinad.fr.cert.pem -infiles home.tinad.fr.csr.pem

5 La valeur la plus importante est le common name. Elle corrspond au FDQN pour les autres champs, essayez simplement d etre logique avec l autorité de certification Voici mon retour écran: root@raspberrypi:/srv/ssl# openssl ca -config openssl.cnf -policy policy_anything -out home.tinad.fr.cert.pem -infiles home.tinad.fr.csr.pem Using configuration from openssl.cnf Enter pass phrase for /srv/ssl/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 1 (0x1) Validity Not Before: May 3 19:25: GMT Not After : May 3 19:25: GMT Subject: countryname = FR stateorprovincename = France localityname = Rouen organizationname = tinad organizationalunitname = home commonname = home.tinad.fr address = gnieark@free.fr X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 81:4B:C7:3E:9B:C6:EA:60:78:26:B3:8F:77:B4:43:07:07:DE:A8:02 X509v3 Authority Key Identifier: keyid:be:1d:5d:b9:f1:53:d6:bd:11:90:8e:5c:0f:d2:bc:99:22:be:f1:48 Certificate is to be certified until May 3 19:25: GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Voila, on a notre certificat signé: /srv/ssl/home.tinad.fr.cert.pem et sa clé privée: /srv/ssl/home.tinad.fr.key.pem (chiffrée par un mot de passe là) On remarque au passage openssl a incrémenté la valeur dans le fichier /srv/ssl/serial. Créer une clé non protégée par un mot de passe (ça servira à Apache) openssl rsa -in home.tinad.fr.key.pem -out home.tinad.fr-enclair.key.pem 3.3: Créer un certificat pour le serveur Web prive.tinad.fr Idem qu au châpitre précedent, du coup je ne détaille pas: #Création de la clé privée pour prive.tinad.fr openssl genrsa -des3 -out prive.tinad.fr.key.pem 4096

6 #demande de certificat: openssl req -config openssl.cnf -new -key prive.tinad.fr.key.pem -out prive.tinad.fr.csr.pem #signature de la demande: openssl ca -config openssl.cnf -policy policy_anything -out prive.tinad.fr.cert.pem -infiles prive.tinad.fr.csr.pem #créer une clé non protégée: openssl rsa -in prive.tinad.fr.key.pem -out prive.tinad.fr-enclair.key.pem 4: Configuration du serveur web cd /var/www #on va créer 5 dossier pour des vhosts: mkdir home.tinad.fr mkdir home.tinad.fr-https mkdir prive.tinad.fr-https #Il me semble que le VHOST par défault d'apache est le premier par ordre alphabétique; #d'où le "0" au début du nom mkdir 0-default mkdir 0-default-https #Supprimer les fichiers de vhosts créés à l installation d'apache cd /etc/apache2/sites-enabled rm * 4.1: configuration des vhost Comme vous le verrez, je reste sur une configuration méga basique des VHOST, préférant les valeurs par défaut d apache aux paramètres non ou mal compris. De plus je n utilise pas de script CGI, donc autant ne pas les activer : vi /etc/apache2/sites-available/home.tinad.fr <VirtualHost *:80> ServerName home.tinad.fr DocumentRoot /var/www/home.tinad.fr </VirtualHost> 4.1.2: vi /etc/apache2/sites-available/home.tinad.fr-https Ce VHOST est chiffré en HTTPS, cependant, aucune restriction d accès n est effectuée. Pour le test, j ai mis le certificat de notre propre autorité de certification. Mais en production, autant mettre un vrai certificat (comptez maxi 30 /an). Pour cette maquette, j y publie le certificat de l autorité de certification, j explique comment l insérer, et je mets un formulaire qui permettra aux utilisateurs de demander leurs propres certificats. (dans le projet final ce sera l administrateur qui aura accès au formulaire pour générer les certificats) <VirtualHost *:443> ServerName home.tinad.fr DocumentRoot /var/www/home.tinad.fr-https SSLEngine On SSLCertificateFile /srv/ssl/home.tinad.fr.cert.pem SSLCertificateKeyFile /srv/ssl/home.tinad.fr-enclair.key.pem SSLProtocol all -SSLv2 </Virtualhost>

7 4.1.3: vi /etc/apache2/sites-available/prive.tinad.fr-https <VirtualHost *:443> ServerName prive.tinad.fr DocumentRoot /var/www/prive.tinad.fr-https SSLEngine On SSLCertificateFile /srv/ssl/prive.tinad.fr.cert.pem SSLCertificateKeyFile /srv/ssl/prive.tinad.fr-enclair.key.pem SSLProtocol all -SSLv2 SSLCACertificateFile /srv/ssl/cacert.pem SSLCARevocationFile /srv/ssl/crl.pem SSLVerifyClient require SSLVerifyDepth 1 SSLOptions +StdEnvVars </Virtualhost> Ce VHOST étant le plus intéressant, expliquons les directives SSLEngine On : active le SSL SSLCertificateFile le fichier contenant le certificat TLS pour prive.tinad.fr SSLCertificateKeyFile le fichier contenant la clé qui servira à chiffrer les connexions (à garder bien cachée ;) ) SSLProtocol all -SSLv2 On accepte tous les protocoles ssl supportés sauf le SSLV2 qui présente une faiblesse) SSLCACertificateFile Le fichier certificat de l autorité qui signe les certificats clients (apache vérifie les signatures) SSLCARevocationFile Le fichier qui contient la liste des certificats révoqués (nécessaire si on veut gérer les utilisateurs) SSLVerifyClient require Seuls les clients ayant un certificat valide sont admis SSLVerifyDepth 1 On limite à une autorité de certification intermédiaire SSLOptions +StdEnvVars Cette directive permet d ajouter les informations concernant le certificat client aux variables d environnement. On pourra ainsi adapter le code PHP en fonction du certificat de l utilisateur : Activation des vhost: a2ensite home.tinad.fr a2ensite home.tinad.fr-https a2ensite prive.tinad.fr-https /etc/init.d/apache2 reload 4.2: Créer un couple certificat-clé client (fichier PKCS#12): mkdir home.tinad.fr-clefs-clients cd home.tinad.fr-clefs-clients creer clé openssl genrsa -des3 -out gnieark.home.tinad.fr.key.pem Créer le certificat: openssl req -config../openssl.cnf -new -key gnieark.home.tinad.fr.key.pem -out

8 gnieark.home.tinad.fr.csr.pem Retour écran de la dernière commande: Enter pass phrase for gnieark.home.tinad.fr.key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [FR]: State or Province Name (full name) [France]: Locality Name (eg, city) []:Rouen Organization Name (eg, company) [Internet Widgits Pty Ltd]:tinad Organizational Unit Name (eg, section) []:home Common Name (e.g. server FQDN or YOUR name) []:gnieark Address []:gnieark@free.fr Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Signer le certificat: openssl ca -config../openssl.cnf -policy policy_anything -out gnieark.home.tinad.fr.cert.pem -infiles gnieark.home.tinad.fr.csr.pem Retour écran de la commande: root@raspberrypi:/srv/ssl/home.tinad.fr-clefs-clients# openssl ca -config../openssl.cnf -policy policy_anything -out gnieark.home.tinad.fr.cert.pem -infiles gnieark.home.tinad.fr.csr.pem Using configuration from../openssl.cnf Enter pass phrase for /srv/ssl/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: 2 (0x2) Validity Not Before: May 12 17:18: GMT Not After : May 12 17:18: GMT Subject: countryname = FR stateorprovincename = France localityname = Rouen organizationname = tinad organizationalunitname = home commonname = gnieark address = gnieark@free.fr X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 47:E4:92:85:3A:43:6A:BC:43:C7:5B:41:F4:67:66:E2:36:CA:D7:69 X509v3 Authority Key Identifier: keyid:be:1d:5d:b9:f1:53:d6:bd:11:90:8e:5c:0f:d2:bc:99:22:be:f1:48 Certificate is to be certified until May 12 17:18: GMT (365 days) Sign the certificate? [y/n]:y

9 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Concatener et convertir au forlat PKCS#12 (.p12) openssl pkcs12 -export -inkey gnieark.home.tinad.fr.key.pem -in gnieark.home.tinad.fr.cert.pem -out gnieark.home.tinad.fr.cert.p12 -name "Gnieark" Ça y est, j ai une clé à) fournir à l utilisateur Gnieark, il pourra l intégrer à Firefox ou Internet Explorer (lol) et ainsi accéder au site que j ai protégé précédent. 5: Révoquer un certificat: En imaginant que je révoque un Zigazou openssl ca -config openssl.cnf -revoke prive.tinad.fr/zigazou.prive.tinad.fr.cert.pem #générer la liste de révocation: openssl ca -config openssl.cnf -gencrl -out crl.pem #la visualiser: openssl crl -in crl.pem -text