Créer une autorité de certification TLS avec Easy-RSA

Easy-RSA est un outil en ligne de commande qui facilite de manière significative la mise en place d’une autorité de certification (CA ou Certificate Authority) et la gestion des certificats. Nous en aurons besoin pour configurer une connexion sécurisée au sein d’un réseau local.

Sous CentOS, Easy-RSA existe théoriquement sous forme de paquet fourni par le dépôt EPEL, mais il est légèrement obsolète et part du principe que vous travaillez en tant que root. Je vais plutôt suivre les recommandations du projet Easy-RSA et travailler en tant qu’utilisateur simple. Je me place dans mon répertoire utilisateur pour lancer le téléchargement de Easy-RSA.

$ links https://github.com/OpenVPN/easy-rsa/releases

Sur la page du projet, je suis les liens Latest Release > v3.0.7 > Download ZIP et je quitte Links.

Je décompresse l’archive téléchargée et je fais un peu de ménage.

$ unzip easy-rsa-3.0.7.zip
$ rm easy-rsa-3.0.7.zip

Je me place dans l’arborescence nouvellement créée et je lance l’initialisation d’une infrastructure à clé publique (Public Key Infrastructure).

$ cd easy-rsa-3.0.7/easyrsa3/
$ ./easyrsa init-pki

init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/microlinux/easy-rsa-3.0.7/easyrsa3/pki

Je crée mon certificat de CA (Certificate Authority) en renseignant le nom d’hôte pleinement qualifié de ma machine.

$ ./easyrsa build-ca

Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017

Enter New CA Key Passphrase: ********
Re-Enter New CA Key Passphrase: ********
Generating RSA private key, 2048 bit long modulus
.....................+++
.......+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (your user, host, or server name) [Easy-RSA CA]:amandine.microlinux.lan

CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/microlinux/easy-rsa-3.0.7/easyrsa3/pki/ca.crt

Notre autorité de certification ne doit pas nécessairement être créée sur le serveur lui-même. Les experts en sécurité conseillent même d’utiliser une machine à part pour cette installation. Après, rien ne vous empêche de configurer Easy-RSA sur un portable air-gapped que vous gardez dans un coffre-fort rangé dans un tunnel sous la banquise en Alaska, selon votre degré de paranoïa.

À partir de là, nous pouvons utiliser Easy-RSA pour signer nos propres certificats. Cette opération sera traitée en détail dans les articles à venir.

La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.