Aller au contenu

🚧 Serveur PKI – AutoritĂ© de Certification interne

Informations générales

  • Nom : PKI interne
  • IP : 192.168.1.xxx (Ă  prĂ©ciser si tu crĂ©es un LXC dĂ©diĂ©)
  • Type : LXC Debian ou VM
  • RĂŽle : Gestion de l’infrastructure Ă  clĂ©s publiques (AC interne)

Services installés

  • OpenSSL / Easy-RSA ou Dogtag/step-ca (selon choix)
  • GĂ©nĂ©ration et signature de certificats pour :
  • Sites web internes (reverse proxy Nginx 207, Nextcloud 202, Jellyfin 205, etc.)
  • Services Samba (209)
  • Supervision Nagios (210)
  • VPN WireGuard (208)
  • PossibilitĂ© d’export des certificats pour usage sur clients/serveurs

Structure de l’AC

  • CA racine (ca.crt, ca.key)
  • CA intermĂ©diaire (optionnel, recommandĂ© pour cloisonner)
  • Certificats serveurs (.crt + .key)
  • CRL (Certificate Revocation List)`
  • OCSP responder (optionnel)

RĂ©pertoires typiques (Easy-RSA)

  • /etc/pki/ ou /etc/ssl/myCA/ → rĂ©pertoire racine
  • ca.crt – certificat racine Ă  distribuer
  • ca.key – clĂ© privĂ©e racine (sĂ©curisĂ©e, offline si possible)
  • issued/ – certificats Ă©mis
  • private/ – clĂ©s privĂ©es (chmod 600)
  • crl.pem – liste de rĂ©vocation

Commandes utiles

Générer un certificat serveur

# Créer une clé + CSR
openssl req -new -newkey rsa:4096 -nodes -keyout server.key -out server.csr

# Signer avec l’autoritĂ© interne
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
  -out server.crt -days 825 -sha256

VĂ©rifier un certificat

openssl x509 -in server.crt -text -noout

Vérifier correspondance clé/certificat

openssl x509 -noout -modulus -in server.crt | openssl md5
openssl rsa -noout -modulus -in server.key | openssl md5

Intégration dans ton infra

  • Reverse Proxy (207) → utilisation du certificat AC interne pour HTTPS
  • WireGuard (208) → possibilitĂ© de certifier les clĂ©s des pairs (optionnel)
  • Nagios (210) → interface web sĂ©curisĂ©e avec certificat interne
  • Nextcloud (202) → certificat signĂ© par CA interne
  • Clients (PC, mobiles) → ajout du certificat ca.crt dans les autoritĂ©s de confiance

Sauvegarde

  • Sauvegarder obligatoirement :

  • ca.key (clĂ© privĂ©e racine)

  • ca.crt (certificat racine)
  • index.txt (suivi des certificats Ă©mis)
  • serial (numĂ©ro de sĂ©rie en cours)
  • 🔒 Garder la clĂ© privĂ©e racine offline si possible (clĂ© USB chiffrĂ©e, coffre-fort)

Notes

  • Tu peux migrer facilement :

  • Debian ↔ Windows (ADCS) : exporter le ca.crt et le ca.key puis recrĂ©er la hiĂ©rarchie

  • Penser Ă  la CRL et au renouvellement des certificats avant expiration
  • Une autoritĂ© interne est suffisante si tous tes appareils sont gĂ©rĂ©s → sinon, utiliser Let’s Encrypt pour la partie publique.