Certificats X.509

Vue d’ensemble

Configuration et génération de certificats X.509 pour sécuriser les services de l’infrastructure, notamment le portail Incus.

Génération de clé privée ED25519

La courbe elliptique ED25519 offre une sécurité élevée avec des clés plus courtes et des performances optimisées.

Clé privée en ED25519

openssl genpkey -algorithm ED25519 -out incusPortal.key

On peut extraire la clé publique avec

openssl pkey -in incusPortal.key -pubout -out incusPortal.pub

Demande de signature du certificat autosigné

On a d’abord besoin de configurer le fichier de configuration de demande de signature, par exemple req.conf

 [ req ]
 default_bits       = 256 
 default_keyfile    = portal.key 
 distinguished_name = req_distinguished_name 
 req_extensions     = req_ext 
 string_mask        = utf8only 

 [ req_distinguished_name ] 
 countryName                 = Country Name (2 letter code) 
 countryName_default         = FR 
 stateOrProvinceName         = State or Province Name (full name) 
 stateOrProvinceName_default = Ile-de-France 
 localityName               = Locality Name (eg, city) 
 localityName_default        = Paris 
 organizationName           = Organization Name (eg, company) 
 organizationName_default    = OCF 
 commonName                 = Common Name (e.g. server FQDN or YOUR name) 
 commonName_default         = rougy.net 

 [ req_ext ] 
 subjectAltName = @alt_names 

 [ alt_names ] 

 DNS.1 = rougy.net 

Et ensuite on crée la demande de certificat:

openssl req -new -key incusPortal.key -out incusPortal.csr -config req.conf -batch

Signature du certificat

openssl x509 -req -days 365 -in incusPortal.csr -signkey incusPortal.key -out incusPortal.crt

Résultats

• incusPortal.crt -> certificat autosigné
• incusPortal.key -> clé privée
• incusPortal.pub -> clé publique