Faille de sécurité Heartbleed - OpenSSL 1.0.1 -> Voir ici
Installer OpenSSL sur un poste windows
Pour effectuer certaines opérations de cryptographie (création d'une clef privée, génération d'un CSR, conversion d'un certificat...) sur un poste Windows nous pouvons utiliser l'outil OpenSSL.
OpenSSL v1.X.X (recommandé)
- Accéder au site suivant : Lien vers site de téléchargement d'OpenSSL
- Descendez dans la page et choisissez la version (en .EXE) :
- Win64 OpenSSL v1.X.X : si votre système d'exploitation est en 64 bits
- Win32 OpenSSL v1.X.X : si votre système d'exploitation est en 32 bits
- Pour certaines versions de systèmes Windows, il vous faudra peut-être installer "Visual C++ 2008 Redistribuable".
OpenSSL v3.X.X
Vous pouvez également choisir d'utiliser openSSL v3.X.X, cependant vous pouvez rencontrer des problèmes pour :
- lire des PFX générés avec la version 1.1.1 (keybot)
- générer les PFX pour ensuite les importer dans Windows (chiffrement non reconnu par la plupart des Windows)
- Accéder au site suivant : Lien vers site de téléchargement d'OpenSSL
- Descendez dans la page et choisissez la version (en .EXE) :
- Win64 OpenSSL v3.X.X : si votre système d'exploitation est en 64 bits
- Win32 OpenSSL v3.X.X : si votre système d'exploitation est en 32 bits
Utiliser OpenSSL sur un poste Windows
Par défaut, OpenSSL pour Windows s'installe dans le répertoire suivant :
- si vous avez installé Win64 OpenSSL : C:\Program Files\OpenSSL-Win64\
- si vous avez installé Win32 OpenSSL : C:\Program Files (x86)\OpenSSL-Win32\
Pour lancer OpenSSL, ouvrez un invite de commandes avec les droits administrateurs.
b) Générer la clef privée (.key) et le CSR (Certificate Signing Request - Demande de certificat)
Dans le cadre de l'obtention (ou d'un renouvellement ou d'une re-fabrication) d'un certificat, vous allez devoir générer une clef privée et
le CSR associé. Pour effectuer cela nous vous conseillons d'utiliser notre assistant en ligne
pour exécuter la bonne commande OpenSSL avec les paramètres adéquats.
Ouvrez un invité de commande avec les droits Administrateurs (clic droit - Executer en tant que...). Placez vous dans le répertoire dans le sous répertoire "bin"
du dossier d'installation d'OpenSSL.
openssl req -new -newkey rsa:2048 -nodes -out www.monsite.fr.csr -keyout www.monsite.fr.key -subj "/C=FR/ST=Calvados/L=CAEN/O=Mon organisation/CN=www.mon-site.fr"
Gardez en sécurité et sauvegardez le fichier contenant la clef privée .key, et copiez / collez seulement le contenu du fichier .csr dans le formulaire de commande.
Problèmes rencontrés sur Windows lors de la génération d'un CSR en une commande
Selon la version d'OpenSSL installée ou la méthode d'installation sur le poste Windows, il arrive parfois que l'on rencontre des messages d'erreur du type :
- config ou req n'est pas reconnu comme commande interne ou externe
Vérifiez bien la syntaxe, les guillemets lors de l’exécution de votre commande. - Unable to load config info from /usr/local/ssl/openssl.cnf
La version OpenSSL s'appuie ici sur une arborescence par défaut de monde linux.
Solution : exécuter des commandes simplifiées :
Rappel:
- Pour lancer l'invite de commande, aller dans le menu démarrer, puis exécuter "cmd".
- Pour coller les lignes de commandes suivantes dans "l'invite de commande dos"
faites un clique droit de votre souris puis choisissez "coller".
- Pour se positionner dans le répertoire où est installé le programme OpenSSL exécutez ceci
cd c:\ cd "Program Files" (ou cd "Program Files(x86)") cd OpenSSL-Win64 (ou cd OpenSSL-Win32) cd bin
- On génère la clef privée avec la commande suivante en définissant un nom de
fichier qui vous correspond :
openssl genrsa 2048 > fichier-site.key
- puis utilisez cette commande pour générer le CSR :
openssl req -new -key fichier-site.key > fichier-site.csr
ou cette commande :
openssl req -new -key fichier-site.key -config "C:\Program Files\OpenSSL-Win64\openssl.cnf" -out fichier-site.csr
Sur certaines plateformes, le fichier openssl.cnf qu'OpenSSL lit par défaut pour créer le CSR n'est pas bon ou inexistant. Dans ce cas vous pouvez télécharger le notre et le placer, par exemple, dans C:\Program Files\OpenSSL-Win64\openssl.cnf :
- Pour les certificats serveur DigiCert ou Thawte: openssl-dem-server-cert-thvs.cnf
- Pour les certificats serveur TBS X509 ou Sectigo: openssl-dem-server-cert.cnf
-
Le système va vous demander de saisir des champs ; remplissez-les en
respectant les instructions (plus d'info sur Obtenir un certificat serveur)
Country Name (2 letter code) []: (le plus souvent FR)
State or Province Name (full name) [Some-State]: (le nom de votre département en toutes lettres)
Locality Name (eg, city) []: (le nom de votre ville)
Organization Name (eg, company) []: (le nom de votre organisation)
Organizational Unit Name (eg, section) []: (laisser vide -recommandé - ou entrer un terme générique comme "Service Informatique")
Common Name (eg, YOUR name) []: (le nom du site a sécuriser)
Email Address []: (ne rien mettre, laisser vide)
Pour les champs suivants laissez les vide, ils sont optionnels.
Ainsi vous obtenez 2 fichiers : fichier-site.key et fichier-site.csr. Gardez précieusement de manière sécurisée le fichier de clef privée (fichier-site.key),
puis copiez / collez le contenu du fichier-site.csr dans le formulaire de commande chez TBS CERTIFICATS.
Attention : Ne jamais nous transmettre ou à un tiers la clef privée ( fichier-site.key ) sinon la sécurité de votre site peut ne plus être assurée.
OpenSSL cas d'utilisation
OpenSSL est la boite à outil au cœur des principaux logiciels opensource pour l'implémentation du SSL.
- Générer votre ligne de commande avec notre outil d'aide à la création de CSR.
- Générer un CSR pour Apache
- Générer un CSR pour serveurs basés sur OpenSSL
- Installer un certificat pour serveur basé sur OpenSSL
- Fabriquer un pkcs12 à partir du certificat X509 et de sa clef privée au format PEM
- Transformer un pkcs12 en fichiers individuels pour apache ou autres produits compatibles openssl
- Openssl: comment vérifier si le certificat correspond à la clef ?
- Autres cas d'utilisation d'OpenSSL
- Noms de domaines (FQDN / SANs) accentués