Partant d'un service LDAP fonctionnel, nous allons maintenant sécuriser les échanges entre le serveur et ses clients en utilisant la sécurité de couche transport ou Transport Layer Security (TLS).
Dans ce but, nous devons installer et configurer une autorité de certification locale dans ce contexte de travaux pratiques.
En "situation réelle", on ferait appel à une autorité de certification tierce publique comme Let's Encrypt.
Cette étape débute par l'installation du paquet easy-rsa, l'initialisation d'une nouvelle
autorité (CA) et la génération
d'un paire de clés.
Une fois le paquet easy-rsa
installé, toutes les opérations de mise en place de l'autorité de
certification se font à partir d'une session administrateur. C'est
la raison de la présence de la commande sudo -i ci-dessous.
-
Installation du paquet.
sudo apt install easy-rsa
-
Création de l'arborescence de l'autorité de certification.
sudo -i make-cadir ldap-pki cd ldap-pki
root@ldap-server:~/ldap-pki#ls -lAh total 20K lrwxrwxrwx 1 root root 27 6 sept. 18:54 easyrsa -> /usr/share/easy-rsa/easyrsa -rw-r--r-- 1 root root 5,1K 6 sept. 18:54 openssl-easyrsa.cnf -rw-r--r-- 1 root root 8,9K 6 sept. 18:54 vars lrwxrwxrwx 1 root root 30 6 sept. 18:54 x509-types -> /usr/share/easy-rsa/x509-types -
Initialisation du gestionnaire de clés.
./easyrsa init-pki
-
Construction de l'autorité de certification.
./easyrsa build-ca nopass
-
Génération des certificats
./easyrsa build-server-full ldap.lab.stri nopass