5. Sécurisation des échanges avec TLS

Partant d'un service LDAP fonctionnel, nous allons maintenant sécuriser les échanges entre le serveur et ses clients en utilisant la sécurité de couche transport ou Transport Layer Security (TLS).

Dans ce but, nous devons installer et configurer une autorité de certification locale dans ce contexte de travaux pratiques.

En "situation réelle", on ferait appel à une autorité de certification tierce publique comme Let's Encrypt.

5.1. Génération des certificats avec easyrsa

Cette étape débute par l'installation du paquet easy-rsa, l'initialisation d'une nouvelle autorité (CA) et la génération d'un paire de clés.

Une fois le paquet easy-rsa installé, toutes les opérations de mise en place de l'autorité de certification se font à partir d'une session administrateur. C'est la raison de la présence de la commande sudo -i ci-dessous.

  1. Installation du paquet.

    sudo apt install easy-rsa
  2. Création de l'arborescence de l'autorité de certification.

    sudo -i
    make-cadir ldap-pki
    cd ldap-pki
    root@ldap-server:~/ldap-pki# ls -lAh
    total 20K
    lrwxrwxrwx 1 root root   27  6 sept. 18:54 easyrsa -> /usr/share/easy-rsa/easyrsa
    -rw-r--r-- 1 root root 5,1K  6 sept. 18:54 openssl-easyrsa.cnf
    -rw-r--r-- 1 root root 8,9K  6 sept. 18:54 vars
    lrwxrwxrwx 1 root root   30  6 sept. 18:54 x509-types -> /usr/share/easy-rsa/x509-types
  3. Initialisation du gestionnaire de clés.

    ./easyrsa init-pki
  4. Construction de l'autorité de certification.

    ./easyrsa build-ca nopass
  5. Génération des certificats

    ./easyrsa build-server-full ldap.lab.stri nopass