Yunohost : changer le niveau de chiffrement des certificats auto-signés en 4096 bits

Un mémo sur comment changer le niveau de chiffrement des certificats auto-signés en 4096 bits car par défaut, sous Yunohost les certificats sont générés en 2048 bits.

A savoir : depuis la version 2.5 de Yunohost il est possible de générer des certificats reconnus avec l’aide de Let’s Encrypt mais je n’ai pas réussi à les utiliser avec OpenVPN. C’est pour cette raison, je vais utiliser les certificats auto-signé de Yunohost pour le VPN.

Certificats auto-signé en 4096 bits sous Yunohost

• Remplacer 2048 par 4096 dans les fichiers openssl.ca.cnf et openssl.cnf, qui se trouvent dans le répertoire /usr/share/yunohost/yunohost-config/ssl/yunoCA :

cd /usr/share/yunohost/yunohost-config/ssl/yunoCA
sed -i "s/2048/4096/g" openssl.cnf
sed -i "s/2048/4096/g" openssl.ca.cnf

cd ~
nano  createcert.sh

# Sauvegarde du répertoire SSL de YunoHost, pour la lisibilité
ssldir=/usr/share/yunohost/yunohost-config/ssl/yunoCA

# Sauvegarde du chemin final SSL (ne pas oublier de modifier avec votre domaine)
finalpath=/etc/yunohost/certs/vpn.domaine.tld

# Sauvegarde du numéro de série du nouveau certificat
serial=$(cat "$ssldir/serial")

# Sauvegarde du certificat actuel du domaine
cp -a $finalpath $finalpath.back

# Suppression des certificats et des fichiers de configuration
rm $finalpath/{crt.pem,key.pem,openssl.cnf}

# Copie du fichier de configuration d’openSSL
cp $ssldir/openssl.cnf $finalpath/

# Changement de la configuration yunohost.org avec votre domaine
# NE PAS OUBLIER DE REMPLACER vpn.alphasek.one !
sed -i "s/yunohost.org/vpn.domaine.tld/g" $finalpath/openssl.cnf

# Generation du certificat et de la clé
openssl req -new -config $finalpath/openssl.cnf -days 3650 -out $ssldir/certs/yunohost_csr.pem -keyout $ssldir/certs/yunohost_key.pem -node$

# Signature du certificat avec le CA du serveur
openssl ca -config $finalpath/openssl.cnf -days 3650 -in $ssldir/certs/yunohost_csr.pem -out $ssldir/certs/yunohost_crt.pem -batch

# Copie du certificat et de la clé au bon endroit
cp $ssldir/newcerts/$serial.pem $finalpath/crt.pem
cp $ssldir/certs/yunohost_key.pem $finalpath/key.pem

# Réparation des permissions
chmod 755 $finalpath
chmod 640 $finalpath/key.pem $finalpath/crt.pem
chmod 600 $finalpath/openssl.cnf

# Autoriser metronome à accéder aux certificats
chown root:metronome $finalpath/key.pem $finalpath/crt.pem

chmod +x createcert.sh

./createcert.sh

Generating a 4096 bit RSA private key
...............................................++
..................................................................................................................................................++
writing new private key to '/usr/share/yunohost/yunohost-config/ssl/yunoCA/certs/yunohost_key.pem'
-----
Using configuration from /etc/yunohost/certs/vpn.domaine.tld/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 20 (0x14)
        Validity
            Not Before: Feb  3 11:51:47 2017 GMT
            Not After : Feb  1 11:51:47 2027 GMT
        Subject:
            commonName                = vpn.domaine.tld
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                ****************************************
            X509v3 Authority Key Identifier:
                keyid:**************************************

            X509v3 Key Usage:
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:vpn.domaine.tld, DNS:www.vpn.domaine.tld, DNS:ns.domaine.tld
Certificate is to be certified until Feb  1 11:51:47 2027 GMT (3650 days)

Write out database with 1 new entries
Data Base Updated

Source du script : https://yunohost.org/#/regenerate_certificate_fr