Certificat Archives - iZero

[Certificat] Créer un keystore

11 février 202111 février 2021 BEF Laisser un commentaire

Créer un keystore Article original Publié le : 11 février 2021 Mise a jour le : – Récupérer le certificat et de la clé privée

$ openssl pkcs12 -export -in <strong>certificat.crt</strong> -inkey <strong>clé_priv.key</strong> -out <strong>nom_de_sortie.keystore</strong>

1	$ openssl pkcs12 -export -in <strong>certificat.crt</strong> -inkey <strong>clé_priv.key</strong> -out <strong>nom_de_sortie.keystore</strong>

Enter pass phrase for clé_priv.key:
Enter Export Password:
Verifying - Enter Export Password:

Enter pass phrase for clé_priv.key:

Enter Export Password:

Verifying - Enter Export Password:

[Certificat] Changer un alias dans un keystore

11 février 202121 mai 2021 BEF Laisser un commentaire

Changer un alias dans un keystore Article original Publié le : 11 février 2021 Mise a jour le : – Dans l’exemple

$ keytool -changealias -alias "ancien_alias" -destalias "nouvel_alias" -keypass 'mot_de_passe' -keystore nom_du_fichier.keystore -storepass 'mot_de_passe'

1	$ keytool -changealias -alias "ancien_alias" -destalias "nouvel_alias" -keypass 'mot_de_passe' -keystore nom_du_fichier.keystore -storepass 'mot_de_passe'

[Certificat] Importer une nouvelle ac dans un truststore

6 septembre 20206 septembre 2020 BEF Laisser un commentaire

Importer une nouvelle ac dans un truststore Article original Publié le : 06 septembre 2020 Mise a jour le : – Dans l’exemple pour l’ajout de l’Autorité de certification QuoVadis

$ keytool -import -trustcacerts -keystore <strong>truststore.jks</strong> -storepass <strong>mot_de_passe</strong> -alias <strong>quovadis_ev_ssl_ica_g3</strong> -import -file <strong>chemin/QuoVadis_EV_SSL_ICA_G3.cer</strong>

1	$ keytool -import -trustcacerts -keystore <strong>truststore.jks</strong> -storepass <strong>mot_de_passe</strong> -alias <strong>quovadis_ev_ssl_ica_g3</strong> -import -file <strong>chemin/QuoVadis_EV_SSL_ICA_G3.cer</strong>

$ keytool -import -trustcacerts -keystore <strong>truststore.jks</strong> -storepass <strong>mot_de_passe</strong> -alias <strong>quovadis_root_ca_2_g3</strong> -import -file <strong>chemin/QuoVadis_Root_CA_2_G3.cer</strong>

1	$ keytool -import -trustcacerts -keystore <strong>truststore.jks</strong> -storepass <strong>mot_de_passe</strong> -alias <strong>quovadis_root_ca_2_g3</strong> -import -file <strong>chemin/QuoVadis_Root_CA_2_G3.cer</strong>

[Certificat] Afficher le contenu en fonction du type d’encodage

2 septembre 20202 septembre 2020 BEF Laisser un commentaire

Afficher le contenu en fonction du type d’encodage Article original Publié le : 02 septembre 2020 Mise a jour le : – Avec les outils keytool et openssl Afficher le contenu d’un keystore et valider son mot de passe si défini

$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>jks</strong>

1	$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>jks</strong>

$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>pfx</strong>

1	$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>pfx</strong>

$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>p12</strong>

1	$ keytool -v -list -storetype pkcs12 -keystore mon_certificat.<strong>p12</strong>

Afficher le contenu d’un certificat

$ openssl x509 -noout -text -in mon_certificat.<strong>cer</strong>

1	$ openssl x509 -noout -text -in mon_certificat.<strong>cer</strong>

$ openssl x509 -noout -text -in mon_certificat.<strong>crt</strong>

1	$ openssl x509 -noout -text -in mon_certificat.<strong>crt</strong>

$ openssl x509 -noout -text -in mon_certificat.<strong>pem</strong>

1	$ openssl x509 -noout -text -in mon_certificat.<strong>pem</strong>

[…]

[Certificat] Convertir certificat P12 en PFX

2 septembre 20202 septembre 2020 BEF Laisser un commentaire

Convertir certificat P12 en PFX Article original Publié le : 02 septembre 2020 Mise a jour le : – Le .p12 et le .pfx ont une structure identique ( en général il contient le certificat, l’intermédiaire, le root ca et la clé privé, le tout protégé par un mot de passe). Le .pfx […]

[Certificat] Convertir certificat CRT en PEM

2 septembre 20202 septembre 2020 BEF Laisser un commentaire

Convertir certificat CRT en PEM Article original Publié le : 02 septembre 2020 Mise a jour le : –

$ openssl x509 -in <strong>mon_certificat.crt</strong> -out <strong>mon_certificat.pem</strong> -outform PEM

1	$ openssl x509 -in <strong>mon_certificat.crt</strong> -out <strong>mon_certificat.pem</strong> -outform PEM

[Certificat] Convertir certificat CER en CRT

2 septembre 20202 septembre 2020 BEF Laisser un commentaire

Convertir certificat CER en CRT Article original Publié le : 02 septembre 2020 Mise a jour le : – Il existe deux méthodes en fonction de comment a été encodé les données de certificat. Encodage binaire

$ openssl x509 -inform DER -in <strong>mon_certificate.cer</strong> -out <strong>mon_</strong><strong>certificate.crt</strong>

1	$ openssl x509 -inform DER -in <strong>mon_certificate.cer</strong> -out <strong>mon_</strong><strong>certificate.crt</strong>

Encodage en base64

$ openssl x509 -inform PEM -in <strong>mon_certificate.cer</strong> -out <strong>mon_</strong><strong>certificate.crt</strong>

1	$ openssl x509 -inform PEM -in <strong>mon_certificate.cer</strong> -out <strong>mon_</strong><strong>certificate.crt</strong>

Quelques liens -https://support.ssl.com/Knowledgebase/Article/View/19/0/der-vs-crt-vs-cer-vs-pem-certificates-and-how-to-convert-them -http://www.gtopia.org/blog/2014/03/der-vs-pem/

[Certificat] Convertir certificat PFX en JKS

2 septembre 20202 septembre 2020 BEF Laisser un commentaire

Convertir certificat PFX en JKS Article original Publié le : 02 septembre 2020 Mise a jour le : – Dans l’exemple

$ keytool -importkeystore -srckeystore [certificat.pfx] -srcstoretype pkcs12 -srcalias [alias_du_certificat] -destkeystore [certificat.jks] -deststoretype jks -deststorepass [mot_de_passe_du_certificat] -destalias [alias_du_certificat]

1	$ keytool -importkeystore -srckeystore [certificat.pfx] -srcstoretype pkcs12 -srcalias [alias_du_certificat] -destkeystore [certificat.jks] -deststoretype jks -deststorepass [mot_de_passe_du_certificat] -destalias [alias_du_certificat]

Dans la pratique

$ keytool -importkeystore -srckeystore <strong>mon_certificat.pfx</strong> -srcstoretype pkcs12 -srcalias <strong>alias_du_certificat</strong> -destkeystore <strong>mon_certificat.jks</strong> -deststoretype jks -deststorepass <strong>mot_de_passe_du_certificat</strong> -destalias <strong>alias_du_certificat</strong>

$ keytool -importkeystore -srckeystore mon_certificat.pfx -srcstoretype pkcs12 -srcalias alias_du_certificat -destkeystore mon_certificat.jks -deststoretype jks -deststorepass mot_de_passe_du_certificat -destalias alias_du_certificat

Une fois le certificat convertie, si en sortie le warning ci dessous s’affiche Warning : Le fichier de clés JKS utilise un format propriétaire. Il est […]

[Script bash] Récupérer la validité de plusieurs noms de domaine

7 juin 202019 septembre 2020 BEF Laisser un commentaire

Récupérer la validité de plusieurs noms de domaine Article original Publié le : 07 juin 2020 Mise a jour le : – J’avais besoin de récupérer rapidement les dates d’expirations de plusieurs centaines de certificats dans un repo interne. J’utilise pour cela la commande openssl, je sépare avec un retour chariot pour le […]

[Certbot/Let’s Encrypt] UnicodeEncodeError: ‘ascii’ codec can’t encode character …

12 mai 202012 mai 2020 BEF Laisser un commentaire

UnicodeEncodeError: ‘ascii’ codec can’t encode character … Article original Publié le : 12 mai 2020 Mise a jour le : – Le dernier renouvellement de mon certificat a échoué, l’erreur semble du a un problème d’encodage dans un fichier de conf.

...
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for it.izero.fr
Cleaning up challenges
<strong><span style="color: #ff0000;">An unexpected error occurred:</span>
UnicodeEncodeError: 'ascii' codec can't encode character u'\xe9' in position 307: ordinal not in range(128)</strong>
Please see the logfiles in /var/log/letsencrypt for more details.

...

Obtaining a new certificate

Performing the following challenges:

http-01 challenge for it.izero.fr

Cleaning up challenges

An unexpected error occurred:

UnicodeEncodeError: 'ascii' codec can't encode character u'\xe9' in position 307: ordinal not in range(128)

Please see the logfiles in /var/log/letsencrypt for more details.

Rechercher rapidement avec un grep et spécifier les répertoires pour […]

[Certificat] Mise en place d’un certificat Let’s Encrypt pour Zimbra 8.8.9

30 novembre 20194 novembre 2020 BEF 2 commentaires

Mise en place d’un certificat Let’s Encrypt pour Zimbra 8.8.9 Article original Publié le : 11 août 2018 Mise a jour le : 30 novembre 2019 Suite a la mise a jour de mon serveur et au renouvellement du certificat, je mets a jour la procédure moins confuse que la précédente. /!\ […]

[Certificat] Quelques commandes en vrac ..

7 janvier 201922 avril 2020 BEF Laisser un commentaire

Quelques commandes en vrac pour les certificats Article original Publié le : 7 janvier 2018 Mise a jour le : – Créer un certificat en .PEM Concaténer avec un cat la clé privé, le certificat, le certificat intermédiaire et le certificat root

$ cat mondomaine.tld.export.key mondomaine.tld.cer RapidSSLRSACA2018.cer DigiCertGlobalRootCA.cer > mondomaine.tld.pem

1	$ cat mondomaine.tld.export.key mondomaine.tld.cer RapidSSLRSACA2018.cer DigiCertGlobalRootCA.cer > mondomaine.tld.pem

Vérifier le contenu d’un keystore ou la validité (keystore, […]

[Let’s Encrypt/Certbot] Quelques infos en vrac ..

5 janvier 201916 mai 2021 BEF Laisser un commentaire

Quelques infos en vrac pour Let’s Encrypt/Certbot Article original Publié le : 6 janvier 2018 Mise a jour le : – Limitation d’usage de Lets’encrypt En Production, il existe une limite de validation qui est de 5 échecs par compte, par nom d’hôte et par heure. D’où l’erreur que j’ai rencontré […]

[Certificat] Installation de Certbot

28 octobre 20176 janvier 2019 BEF 5 commentaires

Installation de Certbot pour créer un certificat Let’s Encrypt et le renouveler automatiquement. Téléchargement Exécution Renouvellement Télécharger la source, donner lui les droits d’exécution puis déplacer le dans /usr/local/sbin

$ wget https://dl.eff.org/certbot-auto

1	$ wget https://dl.eff.org/certbot-auto

$ chmod +x certbot-auto

1	$ chmod +x certbot-auto

$ sudo mv certbot-auto /usr/local/sbin

1	$ sudo mv certbot-auto /usr/local/sbin

Exécuter ensuite le script, nécessite d’être sudo et choisir son environnement.

$ sudo certbot-auto

1	$ sudo certbot-auto

Ou rajouter l’extension –nginx ou –apache

$ sudo certbot-auto --nginx

1	$ sudo certbot-auto --nginx

[…]

[Nginx] Création d’un vhost pour Proxmox

5 avril 201719 novembre 2017 BEF Laisser un commentaire

Création d’un vhost pour Proxmox sur Nginx Testé sur Debian 8.5 Pré requis Avoir généré le certificat, voir article Installation de Let’s Encrypt Avoir installé Nginx Créer le vhost, ajouter le contenu et les chemins vers le certificat letsencrypt.

$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

1	$ sudo vim /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld.conf</strong>

server {
listen       80;
server_name <strong>srv-proxmox.domaine.tld</strong>    <strong>srv-proxmox</strong>;
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
}
server {
listen       443 ssl;

server_name <strong>srv-proxmox.domaine.tld</strong>    <strong>srv-proxmox</strong>;
ssl_certificate <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem</strong>;
ssl_certificate_key     <strong>/etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem</strong>;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

location / {
proxy_pass https://<strong>srv-proxmox.domaine.tld</strong>/;
}
}

server {

listen 80;

server_name srv-proxmox.domaine.tld srv-proxmox;

if ($scheme = http) {

return 301 https://$server_name$request_uri;

}

server {

listen 443 ssl;

server_name srv-proxmox.domaine.tld srv-proxmox;

ssl_certificate /etc/letsencrypt/live/srv-proxmox.domaine.tld/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/srv-proxmox.domaine.tld/privkey.pem;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_session_cache shared:SSL:10m;

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

location / {

proxy_pass https://srv-proxmox.domaine.tld/;

}

Faire un lien symbolique vers sites-enabled

$ sudo ln -sf /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld</strong> /etc/nginx/sites-enabled/

1	$ sudo ln -sf /etc/nginx/sites-available/<strong>srv-proxmox.domaine.tld</strong> /etc/nginx/sites-enabled/

[…]