<<TableOfContents>> Ces paramètres ont été étudiés lors des premières tentative de mise en place d'une PKI via OpenSSL. Voir le résultat ici : http://git.auf.org/?p=pki;a=blob;f=archives/ca-certificates-auf/openssl-auf.cnf = Profils des certificats (Certificate Profiles) = == Profil de certificat pour l'AC racine == || || valeur || commentaire || || Durée de validité (jours)<<BR>>''Validity'' || 9125 jours || le maximum || || Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || || || Autoriser la surcharge d’extensions (requête CMP) <<BR>>''Allow extension override'' || oui || || || Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || || || Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || || || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || non || || || Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || || || Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || oui || || || Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || || || Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) <<BR>>''Use Authority Key Id'' || oui || || || Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || || || Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || || || Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || || || Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || || || Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || || || Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || || || Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || || || Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || || || Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || || || Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access'' || oui || || || Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator'' || oui || || || URI de l’AC émettrice<<BR>>''CA issuer URI'' || `http://igc.auf.org/cert/ac-racine.crt` || || || Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || oui || || || ''Certificate Policies Critical'' || non || || || ''Certificate Policy Id'' || 2.5.29.32.0 || (anyPolicy) || || ''CPS'' || `http://igc.auf.org/cps` || à écrire un jour `;)` || || Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || || || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature de certificast (keyCertSign)<<BR>>Signature de LCR (cRLSign) || || || Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || || || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || non || || || Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || || || Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || || || Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || || || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || non || || || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || non || || || Tailles de clé disponibles<<BR>>''Available bit lengths'' || 2048 || || || AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || || || Type || AC racine (''Root CA'') || || == Profil de certificat pour une AC régionale == Identique à une AC racine, sauf : || || valeur || commentaire || || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || oui || || || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 1 || || || Type || AC subordonnée (''Sub CA'') || || == Profil de certificat pour une AC locale == Identique à une AC régionale, sauf : || || valeur || commentaire || || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 0 || || || Type || AC subordonnée (''Sub CA'') || || == Profil de certificat pour un serveur (OpenVPN ou SSL/TLS) == On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales. || || valeur || commentaire || || Durée de validité (jours)<<BR>>''Validity'' || 1825 jours || 5 ans || || Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || || || Autoriser la surcharge d’extensions (requête CMP) <<BR>>''Allow extension override'' || oui || || || Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || || || Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || || || Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || || || Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || non || || || Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || || || Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) <<BR>>''Use Authority Key Id'' || oui || || || Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || || || Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || || || Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || || || Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || || || Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || || || Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || || || Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || || || Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || || || Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || || || Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access'' || oui || || || Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator'' || oui || || || URI de l’AC émettrice<<BR>>''CA issuer URI'' || (aucun) || || || Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || non || || || Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || || || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || || || Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || || || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || oui || || || Usages de clé étendus (Extended Key Usage) à critique || non || || || Usages de clé étendus (Extended Key Usage) || Authentification serveur (serverAuth)<<BR>>Horodatage (timeStamping) || || || Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || || || Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || || || Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || || || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || oui || || || Sous-éléments du DN du sujet || CN, OU, O, C || || || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || oui || || || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Nom DNS<<BR>>Adresse IP || || || Tailles de clé disponibles<<BR>>''Available bit lengths'' || 1024 et 2048 || || || AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || || || Type || Entity (''Entité'') || || == Profil de certificat pour un personnel AUF == Identique à un certificat de serveur, sauf : || || valeur || commentaire || || Durée de validité (jours)<<BR>>''Validity'' || 730 jours || contrat typique de deux ans || || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || || || Usages de clé étendus (Extended Key Usage) || Authentification client (clientAuth)<<BR>>Signature de code (codeSigning)<<BR>>Protection de courriel (emailProtection)<<BR>>Horodatage (timeStamping)<<BR>>IKE pour IPSec || || || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Adresse IP<<BR>>Nom DNS || || = Profils d'entités (End Entity Profiles) = Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante. == Profil d'entité pour un serveur OpenVPN == || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' || || Nom d'utilisateur || || requis & modifiable || || Mot de passe || || requis & modifiable || || Génération par lot || non || || ||<-3> ''Champs du DN du sujet'' || || CN || || requis & modifiable || || OU || BXX || requis & non-modifiable || || OU || RPV || requis & non-modifiable || || O || AUF || requis & non-modifiable || || C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable || ||<-3> ''Champs Subject Alternative Name'' || || Nom DNS || || non-requis & modifiable || || Adresse IP || || non-requis & modifiable || || URI || || non-requis & modifiable || ||<-3> || || Inverser le DN et le nom alternatif de l’entité || non || || || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable || || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || || || Date de début de validité du certificat || ne pas utiliser || || || Date de fin de validité du certificat || || ne pas utiliser || || Profil de certificats par défaut || Serveur OpenVPN || || || Profil de certificats disponible || Serveur OpenVPN || || || AC par défaut || ''AC de la région concernée'' || || || AC disponibles || ''AC de la région concernée'' || || || Token par défaut || Fichier P12 (PKCS #12) || || || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || || || Nombre de requêtes acceptées || ne pas utiliser || || || Administrateur || ne pas utiliser || || || Permettre la fusion des attributs du DN || non || || || Envoyer la notification par courriel || ''à définir'' || || || Impression des données utilisateur || ne pas utiliser || || == Profil d'entité pour un serveur SSL/TLS == || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' || || Nom d'utilisateur || www.domaine.org || requis & modifiable || || Mot de passe || || requis & modifiable || || Génération par lot || non || || ||<-3> ''Champs du DN du sujet'' || || CN || www.domaine.org || requis & modifiable || || OU || ''Bureau ...'' || requis & non-modifiable || || O || AUF || requis & non-modifiable || || C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable || ||<-3> ''Champs Subject Alternative Name'' || || Nom DNS || www.domaine.org || requis & modifiable || || Nom DNS || || non-requis & modifiable || || Nom DNS || || non-requis & modifiable || || Nom DNS || || non-requis & modifiable || || Nom DNS || || non-requis & modifiable || ||<-3> || || Inverser le DN et le nom alternatif de l’entité || non || || || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable || || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || || || Date de début de validité du certificat || ne pas utiliser || || || Date de fin de validité du certificat || || ne pas utiliser || || Profil de certificats par défaut || Serveur SSL/TLS || || || Profil de certificats disponible || Serveur SSL/TLS || || || AC par défaut || ''AC de la région concernée'' || || || AC disponibles || ''AC de la région concernée'' || || || Token par défaut || Fichier P12 (PKCS #12) || || || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || || || Nombre de requêtes acceptées || ne pas utiliser || || || Administrateur || ne pas utiliser || || || Permettre la fusion des attributs du DN || non || || || Envoyer la notification par courriel || ''à définir'' || || || Impression des données utilisateur || ne pas utiliser || || == Profil d'entité pour un personnel AUF == || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' || || Nom d'utilisateur || prenom.nom || requis & modifiable || || Mot de passe || || requis & modifiable || || Génération par lot || non || || ||<-3> ''Champs du DN du sujet'' || || CN || prenom.nom || requis & modifiable || || OU || ''BXX'' || requis & non-modifiable || || O || AUF || requis & non-modifiable || || C || XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable || ||<-3> ''Champs Subject Alternative Name'' || || Nom RFC 822 || Utiliser l’adresse de courriel de l’entité || requis & non-modifiable || ||<-3> || || Inverser le DN et le nom alternatif de l’entité || non || || || Domaine du courrier électronique || ''utiliser'' : auf.org || requis & non-modifiable || || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || || || Date de début de validité du certificat || || ne pas utiliser || || Date de fin de validité du certificat || || utiliser & modifiable || || Profil de certificats par défaut || Personnel AUF || || || Profil de certificats disponible || Personnel AUF || || || AC par défaut || ''AC de la région concernée'' || || || AC disponibles || ''AC de la région concernée'' || || || Token par défaut || Généré par l'utilisateur || || || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || || || Nombre de requêtes acceptées || ne pas utiliser || || || Administrateur || ''utiliser'' || par défaut & requis || || Permettre la fusion des attributs du DN || non || || || Envoyer la notification par courriel || ''à définir'' || || || Impression des données utilisateur || ne pas utiliser || ||