Chrome Version 58 et Certificat SelfSigned

 

Depuis la mise à jour en version 58 Google chrome n’autorise plus l’utilisation de certificat auto-signé sans SAN (SubjectAltName). La plupart du temps un certificat auto-signé était généré sans SAN et Chrome ne surveillant que la présence du CN (Common Name) pour valider ou non l certificat.

Il va donc falloir recréer un certificat valide pourvu de SAN, j’ai dû faire cette manipulation dans le cadre de mon travail pour notre outil de Ticket GLPI protégé par SSL.

Création de la nouvelle demande de certificat :

Dans un premier temps nous allons devoir créer une nouvelle demande de certificat qui contiendra les noms alternatifs du serveur, dans cet exemple je me suis servi d’une machine sur Ubuntu Linux 14.04.

Il faudra se connecter à la machine et créer un fichier san.cnf contenant les instructions de la nouvelle demande de certificat:

cd /etc/ssl

sudo vi san.cnf

une fois ce fichier créer nous allons pouvoir créer la demande de certificat avec la commande suivante:

sudo openssl req -out pixxlisation-alt.csr -newkey rsa:2048 -nodes -keyout pixxlisation-alt.key -config san.cnf

Vous pouvez aussi vérifier que votre demande de certificat contient bien les SAN que vous avez créé :

sudo openssl req -noout -text -in pixxlisation-alt.csr | grep DNS

Cette commande devrait vous renvoyer les DNS que vous avez créé sur une ligne.

Soummission de la demande de certificat à votre CA (Certification Authority)

Nous allons nous connecter sur l’interface de notre CA //serveurCA/certsrv puis suivre les étapes suivantes pour soumettre votre demande de certificat :

 

 

 

 

 

 

Coller l’intégralité de votre csr dans la partie Saved Request, choisir un Template pour web server et soumettre votre requête à votre CA.

 

 

 

 

Vous pourrez alors télécharger votre certificat au format .cer et le transférer sur votre serveur.

il suffira ensuite de modifier la configuration d’apache pour utiliser votre nouveau certificat et sa clé et de reload le service apache. Vérifier ensuite la validité de votre certificat et que les noms alternatifs sont bien présent.

7 réponses sur “Chrome Version 58 et Certificat SelfSigned”

    1. J’ai bien reçu ton mail n’hésite pas a demander ici si tu as besoin d’aide je ferait mon possible pour te répondre.

          1. salut,

            pas trop car j’ai pas eu le temps de m’en occuper.

            pour répondre à ton autre commentaire, je ne peux pas utiliser de certificat letsencrypt car j’utilise une redirection de free.

            par contre, je vais essayer de désactiver mon certificat et tester avec l’adresse https de ma freebox.

  1. Je te conseil de créer ton certificat directement ici, //letsencrypt.org/ le problème viens du fait que tu génère un certificat autosigné qui n’est pas reconnu sur le web.

    Si tu souhaite juste protégé un serveur interne tu peux utiliser le self-signed certificate, si c’est pour mettre un serveur en ligne il vaux mieux passer par let’s encrypt c’est gratuit et sécurisé.

    tient moi au courant.

Laisser un commentaire