Différences

Ci-dessous, les différences entre deux révisions de la page.

--- ejbca_createca [2024/03/21 14:58] – [Déploiement des certificats racine et intermédiaire sur les postes clients] nekan
+++ ejbca_createca [2024/04/09 10:52] (Version actuelle) – nekan
@@ Ligne 5: / Ligne 5: @@
 Dans cette procédure, nous allons mettre en place une autorité de certification racine et une autorité intermédiaire pour valider différents certificats utilisateurs et/ou serveurs sur notre infrastructure.
-Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-your-first-root-ca-using-ejbca|EJBCA (RootCA en RSA)]]
+Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-your-first-root-ca-using-ejbca|EJBCA (RootCA en RSA)]] \\
 Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-a-pki-hierarchy-in-ejbca|EJBCA (RootCA et SubCA en ECDSA)]]
@@ Ligne 156: / Ligne 156: @@
 ==== Linux via puppet ====
-  * Sur notre serveur ''puppet'', on place les certificats racine et intermédiaire dans le dossier ''/etc/puppetlabs/code/environments/production/modules/file/files/'', par exemple sous les noms ''RootCA.crt'' et ''SubCA.crt''.
+  * Sur notre serveur ''puppet'', on place les certificats racine et intermédiaire au format ''PEM'' dans le dossier ''/etc/puppetlabs/code/environments/production/modules/file/files/'', par exemple sous les noms ''RootCA.pem'' et ''SubCA.pem''.
   * On crée la classe suivante :
 <file>class install_ca {
@@ Ligne 169: / Ligne 169: @@
   # Déploiement du certification racine
-  file {'/usr/share/ca-certificates/extra/RootCA.crt':
+  file {'/usr/share/ca-certificates/extra/RootCA.pem':
     ensure  => 'present',
     owner   => 'root',
     group   => 'root',
     mode    => '0644',
-    content => file('file/RootCA.crt'),
+    content => file('file/RootCA.pem'),
   }
   # Déploiement du certificat intermédiaire
-  file {'/usr/share/ca-certificates/extra/SubCA.crt':
+  file {'/usr/share/ca-certificates/extra/SubCA.pem':
     ensure  => 'present',
     owner   => 'root',
     group   => 'root',
     mode    => '0644',
-    content => file('file/SubCA.crt'),
+    content => file('file/SubCA.pem'),
   }
@@ Ligne 189: / Ligne 189: @@
   file_line { 'RootCA':
     ensure  => present,
-    match   => "^extra/RootCA.crt",
+    match   => "^extra/RootCA.pem",
     path    => '/etc/ca-certificates.conf',
-    line    => 'extra/RootCA.crt',
+    line    => 'extra/RootCA.pem',
   }
@@ Ligne 197: / Ligne 197: @@
   file_line { 'SubCA':
     ensure  => present,
-    match   => "^extra/SubCA.crt",
+    match   => "^extra/SubCA.pem",
     path    => '/etc/ca-certificates.conf',
-    line    => 'extra/SubCA.crt',
+    line    => 'extra/SubCA.pem',
   }
@@ Ligne 206: / Ligne 206: @@
     command   => '/usr/sbin/update-ca-certificates',
     subscribe => [
-      File['/usr/share/ca-certificates/extra/RootCA.crt'],
+      File['/usr/share/ca-certificates/extra/RootCA.pem'],
-      File['/usr/share/ca-certificates/extra/SubCA.crt'],
+      File['/usr/share/ca-certificates/extra/SubCA.pem'],
     ],
     refreshonly => true,
@@ Ligne 214: / Ligne 214: @@
 </file>
+  * Il ne reste plus qu'à ajouter la classe aux postes concernés dans le fichier ''node.pp'' ou à tous les postes via le fichier ''site.pp''.
+<callout type="warning" title="Navigateurs" icon="true">Sous ''Debian'' et ''Ubuntu'', les navigateurs ''Firefox'' et ''Chrome'' utilisent leurs propres banques de certificats. Il faudra donc les importer manuellement.</callout>
 ===== Conclusion =====
@@ Ligne 219: / Ligne 221: @@
   * Création d'un certificat TLS pour un serveur web : [[ejbca_tls|Lien]]
+  * Création d'un certificat TLS pour s'authentifier sur un serveur web : [[ejbca_tls_client|Lien]]
 ~~DISCUSSION~~