Créer une autorité de certification avec OpenSSL
=================================================
par Rémi (Courmisch), le 11/01/2004

# Préparer les répertoires:
mkdir demoCA
mkdir demoCA/crl
mkdir demoCA/newcerts
mkdir demoCA/certs
echo 01 > demoCA/serial
touch demoCA/index.txt
umask 077
mkdir demoCA/private

# Générer le certificat racine (auto-signé):
openssl req -new -x509 -days 3650 -keyout demoCA/private/cakey.pem -out demoCA/cacert.pem
chmod og+r demoCA/cacert.pem

# Générer une demande de certificat (sans phrase de passe):
openssl req -days 365 -new -nodes -keyout mykey.pem -out myreq.pem

# Signer une demande de certificat:
openssl ca -days 365 -in myreq.pem -out mycert.pem
# ajouter l'option "-policy policy_anything" si les localités et organisations
# diffèrent entre certificat racine et nouveau certificat).
chmod og+r demoCA/newcerts/*.pem
rm myreq.pem


Ensuite, il faut stocker les fichiers mycert.pem et surtout mykey.pem là où le
logiciel en a besoin. Souvent, il faut rassembler les 2 en un seul fichier.