<<TableOfContents>>

Ces paramètres ont été étudiés lors des premières tentative de mise en place d'une PKI via OpenSSL. Voir le résultat ici : http://git.auf.org/?p=pki;a=blob;f=archives/ca-certificates-auf/openssl-auf.cnf

= Profils des certificats (Certificate Profiles) =

== Profil de certificat pour l'AC racine ==

  || || valeur || commentaire ||
  || Durée de validité (jours)<<BR>>''Validity'' || 9125 jours || le maximum ||
  || Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || ||
  || Autoriser la surcharge d’extensions (requête CMP)  	 <<BR>>''Allow extension override'' || oui || ||
  || Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || ||
  || Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || ||
  || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || non || ||
  || Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || ||
  || Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || oui || ||
  || Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || ||
  || Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier)	<<BR>>''Use Authority Key Id'' || oui || ||
  || Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || ||
  || Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || ||
  || Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || ||
  || Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || ||
  || Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || ||
  || Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || ||
  || Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || ||
  || Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || ||
  || Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || ||
  || Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access''  || oui || ||
  || Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator''  || oui || ||
  || URI de l’AC émettrice<<BR>>''CA issuer URI'' || `http://igc.auf.org/cert/ac-racine.crt` || ||
  || Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || oui || ||
  || ''Certificate Policies Critical'' || non || ||
  || ''Certificate Policy Id'' || 2.5.29.32.0 || (anyPolicy) ||
  || ''CPS'' || `http://igc.auf.org/cps` || à écrire un jour `;)` ||
  || Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || ||
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature de certificast (keyCertSign)<<BR>>Signature de LCR (cRLSign) || ||
  || Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || ||
  || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || non || ||
  || Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || ||
  || Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || ||
  || Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || ||
  || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || non || ||
  || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || non || ||
  || Tailles de clé disponibles<<BR>>''Available bit lengths''  || 2048 || ||
  || AC disponibles <<BR>>''Available CAs''  || Toutes les AC (''Any CA'') || ||
  || Type || AC racine (''Root CA'') || ||

== Profil de certificat pour une AC régionale ==

Identique à une AC racine, sauf :

  || || valeur || commentaire ||
  || Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || oui || ||
  || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 1 || ||
  || Type || AC subordonnée (''Sub CA'') || ||

== Profil de certificat pour une AC locale ==

Identique à une AC régionale, sauf :

  || || valeur || commentaire ||
  || Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 0 || ||
  || Type || AC subordonnée (''Sub CA'') || ||

== Profil de certificat pour un serveur (OpenVPN ou SSL/TLS) ==

On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales.

  || || valeur || commentaire ||
  || Durée de validité (jours)<<BR>>''Validity'' || 1825 jours || 5 ans ||
  || Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || ||
  || Autoriser la surcharge d’extensions (requête CMP)  	 <<BR>>''Allow extension override'' || oui || ||
  || Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || ||
  || Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || ||
  || Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || ||
  || Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || non || ||
  || Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || ||
  || Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier)	<<BR>>''Use Authority Key Id'' || oui || ||
  || Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || ||
  || Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || ||
  || Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || ||
  || Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || ||
  || Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || ||
  || Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || ||
  || Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || ||
  || Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || ||
  || Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || ||
  || Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access''  || oui || ||
  || Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator''  || oui || ||
  || URI de l’AC émettrice<<BR>>''CA issuer URI'' || (aucun) || ||
  || Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || non || ||
  || Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || ||
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
  || Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || ||
  || Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || oui || ||
  || Usages de clé étendus (Extended Key Usage) à critique || non || ||
  || Usages de clé étendus (Extended Key Usage) || Authentification serveur (serverAuth)<<BR>>Horodatage (timeStamping) || ||
  || Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || ||
  || Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || ||
  || Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || ||
  || Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || oui || ||
  || Sous-éléments du DN du sujet || CN, OU, O, C || ||
  || Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || oui || ||
  || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Nom DNS<<BR>>Adresse IP || ||
  || Tailles de clé disponibles<<BR>>''Available bit lengths''  || 1024 et 2048 || ||
  || AC disponibles <<BR>>''Available CAs''  || Toutes les AC (''Any CA'') || ||
  || Type || Entity (''Entité'') || ||

== Profil de certificat pour un personnel AUF ==

Identique à un certificat de serveur, sauf :

  || || valeur || commentaire ||
  || Durée de validité (jours)<<BR>>''Validity'' || 730 jours || contrat typique de deux ans ||
  || Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
  || Usages de clé étendus (Extended Key Usage) || Authentification client (clientAuth)<<BR>>Signature de code (codeSigning)<<BR>>Protection de courriel (emailProtection)<<BR>>Horodatage (timeStamping)<<BR>>IKE pour IPSec || ||
  || Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Adresse IP<<BR>>Nom DNS || ||

= Profils d'entités (End Entity Profiles) =

Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.

== Profil d'entité pour un serveur OpenVPN ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || || requis & modifiable ||
  || OU || BXX || requis & non-modifiable ||
  || OU || RPV || requis & non-modifiable ||
  || O  || AUF || requis & non-modifiable ||
  || C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom DNS || || non-requis & modifiable ||
  || Adresse IP || || non-requis & modifiable ||
  || URI || || non-requis & modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || ne pas utiliser || ||
  || Date de fin de validité du certificat || || ne pas utiliser ||
  || Profil de certificats par défaut || Serveur OpenVPN || ||
  || Profil de certificats disponible || Serveur OpenVPN || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Fichier P12 (PKCS #12) || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ne pas utiliser || ||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||

== Profil d'entité pour un serveur SSL/TLS ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || www.domaine.org || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || www.domaine.org || requis & modifiable ||
  || OU || ''Bureau ...'' || requis & non-modifiable ||
  || O  || AUF || requis & non-modifiable ||
  || C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom DNS || www.domaine.org || requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  || Nom DNS || || non-requis & modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || ne pas utiliser || ||
  || Date de fin de validité du certificat || || ne pas utiliser ||
  || Profil de certificats par défaut || Serveur SSL/TLS || ||
  || Profil de certificats disponible || Serveur SSL/TLS || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Fichier P12 (PKCS #12) || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ne pas utiliser || ||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||

== Profil d'entité pour un personnel AUF ==

  || ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
  || Nom d'utilisateur || prenom.nom || requis & modifiable ||
  || Mot de passe || || requis & modifiable ||
  || Génération par lot || non || ||
  ||<-3> ''Champs du DN du sujet'' ||
  || CN || prenom.nom || requis & modifiable ||
  || OU || ''BXX'' || requis & non-modifiable ||
  || O  || AUF || requis & non-modifiable ||
  || C || XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
  ||<-3> ''Champs Subject Alternative Name'' ||
  || Nom RFC 822 || Utiliser l’adresse de courriel de l’entité || requis & non-modifiable ||
  ||<-3> ||
  || Inverser le DN et le nom alternatif de l’entité || non || ||
  || Domaine du courrier électronique || ''utiliser'' : auf.org || requis & non-modifiable ||
  || Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
  || Date de début de validité du certificat || || ne pas utiliser ||
  || Date de fin de validité du certificat || || utiliser & modifiable ||
  || Profil de certificats par défaut || Personnel AUF || ||
  || Profil de certificats disponible || Personnel AUF || ||
  || AC par défaut || ''AC de la région concernée'' || ||
  || AC disponibles || ''AC de la région concernée'' || ||
  || Token par défaut || Généré par l'utilisateur || ||
  || Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
  || Nombre de requêtes acceptées || ne pas utiliser || ||
  || Administrateur || ''utiliser'' || par défaut & requis ||
  || Permettre la fusion des attributs du DN || non || ||
  || Envoyer la notification par courriel || ''à définir'' || ||
  || Impression des données utilisateur || ne pas utiliser || ||