Profils des certificats (Certificate Profiles)

Profil de certificat pour l'AC racine

	valeur	commentaire
Durée de validité (jours) Validity	9125 jours	le maximum
Autoriser la surcharge de la validité (requête CMP) Allow validity override	oui
Autoriser la surcharge d’extensions (requête CMP) Allow extension override	oui
Utiliser les contraintes de base (Basic Constraints) Use Basic Constraints	oui
Contraintes de base (Basic Constraints) à critique Basic Constraints Critical	oui
Utiliser la contrainte de longueur de chemin de certification Use Path Length Constraint	non
Utiliser les usages de clé (Key Usage) Use Key Usage	oui
Usages de clé (Key Usage) à critique Key Usage Critical	oui
Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier) Use Subject Key Id	oui
Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) Use Authority Key Id	oui
Utiliser un nom alternatif du sujet (Subject Alternative Name) Use Subject Alternative Name	oui
Nom alternatif du sujet (Subject Alternative Name) à critique Subject Alternate Name Critical	non
Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes) Use Subject Directory Attributes	non
Utiliser les points de distribution de LCR (CRL Distribution Points) Use CRL Distribution Point	oui
Points de distribution de LCR (CRL Distribution Points) à critique CRL Distribution Point Critical	non
Utiliser un point de distribution de LCR déjà défini pour une AC Use CA defined	oui
Utiliser les points de distribution de delta LCR (Freshest CRL) Use FreshestCRL extension	oui
Utiliser l’extension Freshest CRL définie pour l’AC Use CA Defined	oui
Utiliser OCSP sans vérification (de signature) Use OCSP No Check	non
Utiliser les accès aux informations de l’émetteur (Authority Information Access) Use Authority Information Access	oui
Utiliser un serveur OCSP défini pour une AC Use CA defined OCSP locator	oui
URI de l’AC émettrice CA issuer URI	`http://igc.auf.org/cert/ac-racine.crt`
Utiliser les politiques de certification (Certificate Policies) Use Certificate Policies	oui
Certificate Policies Critical	non
Certificate Policy Id	2.5.29.32.0	(anyPolicy)
CPS	`http://igc.auf.org/cps`	à écrire un jour `;)`
Utiliser les déclarations de certificats qualifiés (QC Statements) Use Qualified Certificate Statement	non
Usages de clé (Key Usage) Key usage	Signature de certificast (keyCertSign) Signature de LCR (cRLSign)
Autoriser la surcharge des usages de clé (Key Usage) Allow Key Usage Override	non
Utiliser les usages de clé étendus (Extended Key Usage) Use Extended Key Usage	non
Droits d’accès CVC CVC access rights	aucun
Utiliser un gabarit (template) MS Use MS Template Value	non
Utiliser le suffixe de CN Use CN Postfix	non
Utiliser les sous-éléments du DN du sujet Use a Subset of Subject DN	non
Utiliser les sous-éléments du nom alternatif du sujet Use a Subset of Subject Alt. Name	non
Tailles de clé disponibles Available bit lengths	2048
AC disponibles Available CAs	Toutes les AC (Any CA)
Type	AC racine (Root CA)

Profil de certificat pour une AC régionale

Identique à une AC racine, sauf :

	valeur	commentaire
Utiliser la contrainte de longueur de chemin de certification Use Path Length Constraint	oui
Contrainte de longueur de chemin Path Length Constraint	1
Type	AC subordonnée (Sub CA)

Profil de certificat pour une AC locale

Identique à une AC régionale, sauf :

valeur

commentaire

Contrainte de longueur de chemin
Path Length Constraint

0

Type

AC subordonnée (Sub CA)

Profil de certificat pour un serveur (OpenVPN ou SSL/TLS)

On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales.

	valeur	commentaire
Durée de validité (jours) Validity	1825 jours	5 ans
Autoriser la surcharge de la validité (requête CMP) Allow validity override	oui
Autoriser la surcharge d’extensions (requête CMP) Allow extension override	oui
Utiliser les contraintes de base (Basic Constraints) Use Basic Constraints	oui
Contraintes de base (Basic Constraints) à critique Basic Constraints Critical	oui
Utiliser les usages de clé (Key Usage) Use Key Usage	oui
Usages de clé (Key Usage) à critique Key Usage Critical	non
Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier) Use Subject Key Id	oui
Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) Use Authority Key Id	oui
Utiliser un nom alternatif du sujet (Subject Alternative Name) Use Subject Alternative Name	oui
Nom alternatif du sujet (Subject Alternative Name) à critique Subject Alternate Name Critical	non
Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes) Use Subject Directory Attributes	non
Utiliser les points de distribution de LCR (CRL Distribution Points) Use CRL Distribution Point	oui
Points de distribution de LCR (CRL Distribution Points) à critique CRL Distribution Point Critical	non
Utiliser un point de distribution de LCR déjà défini pour une AC Use CA defined	oui
Utiliser les points de distribution de delta LCR (Freshest CRL) Use FreshestCRL extension	oui
Utiliser l’extension Freshest CRL définie pour l’AC Use CA Defined	oui
Utiliser OCSP sans vérification (de signature) Use OCSP No Check	non
Utiliser les accès aux informations de l’émetteur (Authority Information Access) Use Authority Information Access	oui
Utiliser un serveur OCSP défini pour une AC Use CA defined OCSP locator	oui
URI de l’AC émettrice CA issuer URI	(aucun)
Utiliser les politiques de certification (Certificate Policies) Use Certificate Policies	non
Utiliser les déclarations de certificats qualifiés (QC Statements) Use Qualified Certificate Statement	non
Usages de clé (Key Usage) Key usage	Signature numérique (digitalSignature) Non-répudiation (nonRepudiation) Chiffrement de clés (keyEncipherment) Chiffrement de données (dataEncipherment)
Autoriser la surcharge des usages de clé (Key Usage) Allow Key Usage Override	non
Utiliser les usages de clé étendus (Extended Key Usage) Use Extended Key Usage	oui
Usages de clé étendus (Extended Key Usage) à critique	non
Usages de clé étendus (Extended Key Usage)	Authentification serveur (serverAuth) Horodatage (timeStamping)
Droits d’accès CVC CVC access rights	aucun
Utiliser un gabarit (template) MS Use MS Template Value	non
Utiliser le suffixe de CN Use CN Postfix	non
Utiliser les sous-éléments du DN du sujet Use a Subset of Subject DN	oui
Sous-éléments du DN du sujet	CN, OU, O, C
Utiliser les sous-éléments du nom alternatif du sujet Use a Subset of Subject Alt. Name	oui
Sous-éléments du nom alternatif du sujet	Autre nom Nom RFC 822 (adresse de courriel) Nom DNS Adresse IP
Tailles de clé disponibles Available bit lengths	1024 et 2048
AC disponibles Available CAs	Toutes les AC (Any CA)
Type	Entity (Entité)

Profil de certificat pour un personnel AUF

Identique à un certificat de serveur, sauf :

	valeur	commentaire
Durée de validité (jours) Validity	730 jours	contrat typique de deux ans
Usages de clé (Key Usage) Key usage	Signature numérique (digitalSignature) Non-répudiation (nonRepudiation) Chiffrement de clés (keyEncipherment) Chiffrement de données (dataEncipherment)
Usages de clé étendus (Extended Key Usage)	Authentification client (clientAuth) Signature de code (codeSigning) Protection de courriel (emailProtection) Horodatage (timeStamping) IKE pour IPSec
Sous-éléments du nom alternatif du sujet	Autre nom Nom RFC 822 (adresse de courriel) Adresse IP Nom DNS

Profils d'entités (End Entity Profiles)

Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.

Profil d'entité pour un serveur OpenVPN

Variable	Valeur par défaut	Utilisation
Nom d'utilisateur		requis & modifiable
Mot de passe		requis & modifiable
Génération par lot	non
Champs du DN du sujet
CN		requis & modifiable
OU	BXX	requis & non-modifiable
OU	RPV	requis & non-modifiable
O	AUF	requis & non-modifiable
C	XX;XX;..;XX;XX (liste des pays de la région)	requis & non-modifiable
Champs Subject Alternative Name
Nom DNS		non-requis & modifiable
Adresse IP		non-requis & modifiable
URI		non-requis & modifiable

Inverser le DN et le nom alternatif de l’entité	non
Domaine du courrier électronique	utiliser : auf.org	non-requis & modifiable
Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
Date de début de validité du certificat	ne pas utiliser
Date de fin de validité du certificat		ne pas utiliser
Profil de certificats par défaut	Serveur OpenVPN
Profil de certificats disponible	Serveur OpenVPN
AC par défaut	AC de la région concernée
AC disponibles	AC de la région concernée
Token par défaut	Fichier P12 (PKCS #12)
Tokens disponibles	Généré par l'utilisateur Fichier P12 (PKCS #12)
Nombre de requêtes acceptées	ne pas utiliser
Administrateur	ne pas utiliser
Permettre la fusion des attributs du DN	non
Envoyer la notification par courriel	à définir
Impression des données utilisateur	ne pas utiliser

Profil d'entité pour un serveur SSL/TLS

Variable	Valeur par défaut	Utilisation
Nom d'utilisateur	www.domaine.org	requis & modifiable
Mot de passe		requis & modifiable
Génération par lot	non
Champs du DN du sujet
CN	www.domaine.org	requis & modifiable
OU	Bureau ...	requis & non-modifiable
O	AUF	requis & non-modifiable
C	XX;XX;..;XX;XX (liste des pays de la région)	requis & non-modifiable
Champs Subject Alternative Name
Nom DNS	www.domaine.org	requis & modifiable
Nom DNS		non-requis & modifiable
Nom DNS		non-requis & modifiable
Nom DNS		non-requis & modifiable
Nom DNS		non-requis & modifiable

Inverser le DN et le nom alternatif de l’entité	non
Domaine du courrier électronique	utiliser : auf.org	non-requis & modifiable
Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
Date de début de validité du certificat	ne pas utiliser
Date de fin de validité du certificat		ne pas utiliser
Profil de certificats par défaut	Serveur SSL/TLS
Profil de certificats disponible	Serveur SSL/TLS
AC par défaut	AC de la région concernée
AC disponibles	AC de la région concernée
Token par défaut	Fichier P12 (PKCS #12)
Tokens disponibles	Généré par l'utilisateur Fichier P12 (PKCS #12)
Nombre de requêtes acceptées	ne pas utiliser
Administrateur	ne pas utiliser
Permettre la fusion des attributs du DN	non
Envoyer la notification par courriel	à définir
Impression des données utilisateur	ne pas utiliser

Profil d'entité pour un personnel AUF

Variable	Valeur par défaut	Utilisation
Nom d'utilisateur	prenom.nom	requis & modifiable
Mot de passe		requis & modifiable
Génération par lot	non
Champs du DN du sujet
CN	prenom.nom	requis & modifiable
OU	BXX	requis & non-modifiable
O	AUF	requis & non-modifiable
C	XX;XX;XX (liste des pays de la région)	requis & non-modifiable
Champs Subject Alternative Name
Nom RFC 822	Utiliser l’adresse de courriel de l’entité	requis & non-modifiable

Inverser le DN et le nom alternatif de l’entité	non
Domaine du courrier électronique	utiliser : auf.org	requis & non-modifiable
Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
Date de début de validité du certificat		ne pas utiliser
Date de fin de validité du certificat		utiliser & modifiable
Profil de certificats par défaut	Personnel AUF
Profil de certificats disponible	Personnel AUF
AC par défaut	AC de la région concernée
AC disponibles	AC de la région concernée
Token par défaut	Généré par l'utilisateur
Tokens disponibles	Généré par l'utilisateur Fichier P12 (PKCS #12)
Nombre de requêtes acceptées	ne pas utiliser
Administrateur	utiliser	par défaut & requis
Permettre la fusion des attributs du DN	non
Envoyer la notification par courriel	à définir
Impression des données utilisateur	ne pas utiliser

WikiTeki / PKI / Profils