• Sommaire

  1. Profils des certificats (Certificate Profiles)
     1. Profil de certificat pour l'AC racine
     2. Profil de certificat pour une AC régionale
     3. Profil de certificat pour une AC locale
     4. Profil de certificat pour un serveur (OpenVPN ou SSL/TLS)
     5. Profil de certificat pour un personnel AUF
  2. Profils d'entités (End Entity Profiles)
     1. Profil d'entité pour un serveur OpenVPN
     2. Profil d'entité pour un serveur SSL/TLS
     3. Profil d'entité pour un personnel AUF

Profils des certificats (Certificate Profiles)

Profil de certificat pour l'AC racine

• 	valeur	commentaire
  Durée de validité (jours) Validity	9125 jours	le maximum
  Autoriser la surcharge de la validité (requête CMP) Allow validity override	oui
  Autoriser la surcharge d’extensions (requête CMP) Allow extension override	oui
  Utiliser les contraintes de base (Basic Constraints) Use Basic Constraints	oui
  Contraintes de base (Basic Constraints) à critique Basic Constraints Critical	oui
  Utiliser la contrainte de longueur de chemin de certification Use Path Length Constraint	oui
  Contrainte de longueur de chemin Path Length Constraint	2
  Utiliser les usages de clé (Key Usage) Use Key Usage	oui
  Usages de clé (Key Usage) à critique Key Usage Critical	oui
  Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier) Use Subject Key Id	oui
  Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) Use Authority Key Id	oui
  Utiliser un nom alternatif du sujet (Subject Alternative Name) Use Subject Alternative Name	oui
  Nom alternatif du sujet (Subject Alternative Name) à critique Subject Alternate Name Critical	non
  Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes) Use Subject Directory Attributes	non
  Utiliser les points de distribution de LCR (CRL Distribution Points) Use CRL Distribution Point	oui
  Points de distribution de LCR (CRL Distribution Points) à critique CRL Distribution Point Critical	non
  Utiliser un point de distribution de LCR déjà défini pour une AC Use CA defined	oui
  Utiliser les points de distribution de delta LCR (Freshest CRL) Use FreshestCRL extension	oui
  Utiliser l’extension Freshest CRL définie pour l’AC Use CA Defined	oui
  Utiliser OCSP sans vérification (de signature) Use OCSP No Check	non
  Utiliser les accès aux informations de l’émetteur (Authority Information Access) Use Authority Information Access	oui
  Utiliser un serveur OCSP défini pour une AC Use CA defined OCSP locator	oui
  URI de l’AC émettrice CA issuer URI	(aucun)
  Utiliser les politiques de certification (Certificate Policies) Use Certificate Policies	non
  Utiliser les déclarations de certificats qualifiés (QC Statements) Use Qualified Certificate Statement	non
  Usages de clé (Key Usage) Key usage	Signature numérique (digitalSignature) Signature de certificast (keyCertSign) Signature de LCR (cRLSign)
  Autoriser la surcharge des usages de clé (Key Usage) Allow Key Usage Override	non
  Utiliser les usages de clé étendus (Extended Key Usage) Use Extended Key Usage	non
  Droits d’accès CVC CVC access rights	aucun
  Utiliser un gabarit (template) MS Use MS Template Value	non
  Utiliser le suffixe de CN Use CN Postfix	non
  Utiliser les sous-éléments du DN du sujet Use a Subset of Subject DN	non
  Utiliser les sous-éléments du nom alternatif du sujet Use a Subset of Subject Alt. Name	non
  Tailles de clé disponibles Available bit lengths	2048
  AC disponibles Available CAs	Toutes les AC (Any CA)
  Type	AC racine (Root CA)

Profil de certificat pour une AC régionale

Identique à une AC racine, sauf :

• 	valeur	commentaire
  Contrainte de longueur de chemin Path Length Constraint	1
  Type	AC subordonnée (Sub CA)

Profil de certificat pour une AC locale

Identique à une AC racine, sauf :

• 	valeur	commentaire
  Contrainte de longueur de chemin Path Length Constraint	0
  Type	AC subordonnée (Sub CA)

Profil de certificat pour un serveur (OpenVPN ou SSL/TLS)

Note : on déclare deux profils de certificats identitiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entité.

• 	valeur	commentaire
  Durée de validité (jours) Validity	1825 jours	5 ans
  Autoriser la surcharge de la validité (requête CMP) Allow validity override	oui
  Autoriser la surcharge d’extensions (requête CMP) Allow extension override	oui
  Utiliser les contraintes de base (Basic Constraints) Use Basic Constraints	oui
  Contraintes de base (Basic Constraints) à critique Basic Constraints Critical	oui
  Utiliser les usages de clé (Key Usage) Use Key Usage	oui
  Usages de clé (Key Usage) à critique Key Usage Critical	non
  Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier) Use Subject Key Id	oui
  Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) Use Authority Key Id	oui
  Utiliser un nom alternatif du sujet (Subject Alternative Name) Use Subject Alternative Name	oui
  Nom alternatif du sujet (Subject Alternative Name) à critique Subject Alternate Name Critical	non
  Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes) Use Subject Directory Attributes	non
  Utiliser les points de distribution de LCR (CRL Distribution Points) Use CRL Distribution Point	oui
  Points de distribution de LCR (CRL Distribution Points) à critique CRL Distribution Point Critical	non
  Utiliser un point de distribution de LCR déjà défini pour une AC Use CA defined	oui
  Utiliser les points de distribution de delta LCR (Freshest CRL) Use FreshestCRL extension	oui
  Utiliser l’extension Freshest CRL définie pour l’AC Use CA Defined	oui
  Utiliser OCSP sans vérification (de signature) Use OCSP No Check	non
  Utiliser les accès aux informations de l’émetteur (Authority Information Access) Use Authority Information Access	oui
  Utiliser un serveur OCSP défini pour une AC Use CA defined OCSP locator	oui
  URI de l’AC émettrice CA issuer URI	(aucun)
  Utiliser les politiques de certification (Certificate Policies) Use Certificate Policies	non
  Utiliser les déclarations de certificats qualifiés (QC Statements) Use Qualified Certificate Statement	non
  Usages de clé (Key Usage) Key usage	Signature numérique (digitalSignature) Non-répudiation (nonRepudiation) Chiffrement de clés (keyEncipherment) Chiffrement de données (dataEncipherment)
  Autoriser la surcharge des usages de clé (Key Usage) Allow Key Usage Override	non
  Utiliser les usages de clé étendus (Extended Key Usage) Use Extended Key Usage	oui
  Usages de clé étendus (Extended Key Usage) à critique	non
  Usages de clé étendus (Extended Key Usage)	Authentification serveur (serverAuth) Horodatage (timeStamping)
  Droits d’accès CVC CVC access rights	aucun
  Utiliser un gabarit (template) MS Use MS Template Value	non
  Utiliser le suffixe de CN Use CN Postfix	non
  Utiliser les sous-éléments du DN du sujet Use a Subset of Subject DN	oui
  Sous-éléments du DN du sujet	CN, OU, O, L, ST, C
  Utiliser les sous-éléments du nom alternatif du sujet Use a Subset of Subject Alt. Name	oui
  Sous-éléments du nom alternatif du sujet	Autre nom Nom RFC 822 (adresse de courriel) Nom DNS Adresse IP
  Tailles de clé disponibles Available bit lengths	1024
  AC disponibles Available CAs	Toutes les AC (Any CA)
  Type	Entity (Entité)

Profil de certificat pour un personnel AUF

Identitique à un certificat de serveur, sauf :

• 	valeur	commentaire
  Durée de validité (jours) Validity	730 jours	contrat typique de deux ans
  Usages de clé (Key Usage) Key usage	Signature numérique (digitalSignature) Non-répudiation (nonRepudiation) Chiffrement de clés (keyEncipherment) Chiffrement de données (dataEncipherment)
  Usages de clé étendus (Extended Key Usage)	Authentification client (clientAuth) Signature de code (codeSigning) Protection de courriel (emailProtection) Horodatage (timeStamping) MS Encrypted FS MS EFS Recovery MS Document Signing
  Sous-éléments du nom alternatif du sujet	Autre nom Nom RFC 822 (adresse de courriel) Adresse IP

Profils d'entités (End Entity Profiles)

Note : pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.

Profil d'entité pour un serveur OpenVPN

• Variable	Valeur par défaut	Utilisation
  Nom d'utilisateur		requis & modifiable
  Mot de passe		requis & modifiable
  Génération par lot	non
  Champs du DN du sujet
  CN		requis & modifiable
  OU	VPN	requis & non-modifiable
  O	Agence universitaire de la Francophonie	requis & non-modifiable
  L		non-requis & modifiable
  ST		non-requis & modifiable
  C	;XX;XX;XX (liste des pays de la région)	requis & modifiable
  Champs Subject Alternative Name
  Nom DNS		non-requis & modifiable
  Adresse IP		non-requis & modifiable
  URI		non-requis & modifiable
  Inverser le DN et le nom alternatif de l’entité	non
  Domaine du courrier électronique	utiliser : auf.org	non-requis & modifiable
  Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
  Date de début de validité du certificat	ne pas utiliser
  Date de fin de validité du certificat		utiliser & modifiable
  Profil de certificats par défaut	Serveur OpenVPN
  Profil de certificats disponible	Serveur OpenVPN
  AC par défaut	AC de la région concernée
  AC disponibles	AC de la région concernée
  Token par défaut	Généré par l'utilisateur
  Tokens disponibles	Généré par l'utilisateur autres ?
  Nombre de requêtes acceptées	ne pas utiliser
  Administrateur	ne pas utiliser
  Permettre la fusion des attributs du DN	non
  Envoyer la notification par courriel	à définir
  Impression des données utilisateur	ne pas utiliser

Profil d'entité pour un serveur SSL/TLS

• Variable	Valeur par défaut	Utilisation
  Nom d'utilisateur	www.domaine.org	requis & modifiable
  Mot de passe		requis & modifiable
  Génération par lot	non
  Champs du DN du sujet
  CN	www.domaine.org	requis & modifiable
  OU	Bureau ...	requis & non-modifiable
  O	Agence universitaire de la Francophonie	requis & non-modifiable
  L		non-requis & modifiable
  ST		non-requis & modifiable
  C	;XX;XX;XX (liste des pays de la région)	requis & modifiable
  Champs Subject Alternative Name
  Nom DNS	www.domaine.org	requis & modifiable
  Nom DNS		non-requis & modifiable
  Nom DNS		non-requis & modifiable
  Nom DNS		non-requis & modifiable
  Nom DNS		non-requis & modifiable
  Inverser le DN et le nom alternatif de l’entité	non
  Domaine du courrier électronique	utiliser : auf.org	non-requis & modifiable
  Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
  Date de début de validité du certificat	ne pas utiliser
  Date de fin de validité du certificat		utiliser & modifiable
  Profil de certificats par défaut	Serveur SSL/TLS
  Profil de certificats disponible	Serveur SSL/TLS
  AC par défaut	AC de la région concernée
  AC disponibles	AC de la région concernée
  Token par défaut	Généré par l'utilisateur
  Tokens disponibles	Généré par l'utilisateur autres ?
  Nombre de requêtes acceptées	ne pas utiliser
  Administrateur	ne pas utiliser
  Permettre la fusion des attributs du DN	non
  Envoyer la notification par courriel	à définir
  Impression des données utilisateur	ne pas utiliser

Profil d'entité pour un personnel AUF

• Variable	Valeur par défaut	Utilisation
  Nom d'utilisateur	prenom.nom	requis & modifiable
  Mot de passe		requis & modifiable
  Génération par lot	non
  Champs du DN du sujet
  CN	prenom.nom	requis & modifiable
  OU	Bureau ...	requis & non-modifiable
  O	Agence universitaire de la Francophonie	requis & non-modifiable
  L		non-requis & modifiable
  ST		non-requis & modifiable
  C	;XX;XX;XX (liste des pays de la région)	requis & modifiable
  Champs Subject Alternative Name
  Nom RFC 822	Utiliser l’adresse de courriel de l’entité	requis & non-modifiable
  Adresse IP		non-requis & modifiable
  URI		non-requis & modifiable
  Inverser le DN et le nom alternatif de l’entité	non
  Domaine du courrier électronique	utiliser : auf.org	requis & non-modifiable
  Champs Attributs d’annuaire du sujet (Subject Directory Attributes)	aucun
  Date de début de validité du certificat		utiliser & modifiable
  Date de fin de validité du certificat		utiliser & modifiable
  Profil de certificats par défaut	Personnel AUF
  Profil de certificats disponible	Personnel AUF
  AC par défaut	AC de la région concernée
  AC disponibles	AC de la région concernée
  Token par défaut	Fichier P12 (PKCS #12)
  Tokens disponibles	tous
  Nombre de requêtes acceptées	ne pas utiliser
  Administrateur	utiliser	par défaut & non-requis
  Permettre la fusion des attributs du DN	non
  Envoyer la notification par courriel	à définir
  Impression des données utilisateur	ne pas utiliser