<<TableOfContents>>
Ces paramètres ont été étudiés lors des premières tentative de mise en place d'une PKI via OpenSSL. Voir le résultat ici : http://git.auf.org/?p=pki;a=blob;f=archives/ca-certificates-auf/openssl-auf.cnf
= Profils des certificats (Certificate Profiles) =
== Profil de certificat pour l'AC racine ==
|| || valeur || commentaire ||
|| Durée de validité (jours)<<BR>>''Validity'' || 9125 jours || le maximum ||
|| Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || ||
|| Autoriser la surcharge d’extensions (requête CMP) <<BR>>''Allow extension override'' || oui || ||
|| Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || ||
|| Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || ||
|| Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || non || ||
|| Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || ||
|| Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || oui || ||
|| Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || ||
|| Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) <<BR>>''Use Authority Key Id'' || oui || ||
|| Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || ||
|| Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || ||
|| Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || ||
|| Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || ||
|| Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || ||
|| Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || ||
|| Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || ||
|| Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || ||
|| Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || ||
|| Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access'' || oui || ||
|| Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator'' || oui || ||
|| URI de l’AC émettrice<<BR>>''CA issuer URI'' || `http://igc.auf.org/cert/ac-racine.crt` || ||
|| Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || oui || ||
|| ''Certificate Policies Critical'' || non || ||
|| ''Certificate Policy Id'' || 2.5.29.32.0 || (anyPolicy) ||
|| ''CPS'' || `http://igc.auf.org/cps` || à écrire un jour `;)` ||
|| Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || ||
|| Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature de certificast (keyCertSign)<<BR>>Signature de LCR (cRLSign) || ||
|| Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || ||
|| Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || non || ||
|| Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || ||
|| Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || ||
|| Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || ||
|| Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || non || ||
|| Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || non || ||
|| Tailles de clé disponibles<<BR>>''Available bit lengths'' || 2048 || ||
|| AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || ||
|| Type || AC racine (''Root CA'') || ||
== Profil de certificat pour une AC régionale ==
Identique à une AC racine, sauf :
|| || valeur || commentaire ||
|| Utiliser la contrainte de longueur de chemin de certification<<BR>>''Use Path Length Constraint'' || oui || ||
|| Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 1 || ||
|| Type || AC subordonnée (''Sub CA'') || ||
== Profil de certificat pour une AC locale ==
Identique à une AC régionale, sauf :
|| || valeur || commentaire ||
|| Contrainte de longueur de chemin <<BR>>''Path Length Constraint'' || 0 || ||
|| Type || AC subordonnée (''Sub CA'') || ||
== Profil de certificat pour un serveur (OpenVPN ou SSL/TLS) ==
On déclare deux profils de certificats identiques, l'un pour "serveur OpenVPN" et l'autre pour "serveur SSL/TLS". Cela permet de les différencier au niveau des profils d'entités finales.
|| || valeur || commentaire ||
|| Durée de validité (jours)<<BR>>''Validity'' || 1825 jours || 5 ans ||
|| Autoriser la surcharge de la validité (requête CMP) <<BR>>''Allow validity override'' || oui || ||
|| Autoriser la surcharge d’extensions (requête CMP) <<BR>>''Allow extension override'' || oui || ||
|| Utiliser les contraintes de base (Basic Constraints)<<BR>>''Use Basic Constraints'' || oui || ||
|| Contraintes de base (Basic Constraints) à critique <<BR>>''Basic Constraints Critical'' || oui || ||
|| Utiliser les usages de clé (Key Usage)<<BR>>''Use Key Usage'' || oui || ||
|| Usages de clé (Key Usage) à critique <<BR>>''Key Usage Critical'' || non || ||
|| Utiliser l’identifiant de la clé publique du sujet (Subject Key Identifier)<<BR>>''Use Subject Key Id'' || oui || ||
|| Utiliser l’identifiant de la clé publique de l’émetteur (Authority Key Identifier) <<BR>>''Use Authority Key Id'' || oui || ||
|| Utiliser un nom alternatif du sujet (Subject Alternative Name) <<BR>>''Use Subject Alternative Name'' || oui || ||
|| Nom alternatif du sujet (Subject Alternative Name) à critique<<BR>>''Subject Alternate Name Critical'' || non || ||
|| Utiliser des attributs d’annuaire du sujet (Subject Directory Attributes)<<BR>>''Use Subject Directory Attributes'' || non || ||
|| Utiliser les points de distribution de LCR (CRL Distribution Points)<<BR>>''Use CRL Distribution Point'' || oui || ||
|| Points de distribution de LCR (CRL Distribution Points) à critique<<BR>>''CRL Distribution Point Critical'' || non || ||
|| Utiliser un point de distribution de LCR déjà défini pour une AC<<BR>>''Use CA defined'' || oui || ||
|| Utiliser les points de distribution de delta LCR (Freshest CRL)<<BR>>''Use FreshestCRL extension'' || oui || ||
|| Utiliser l’extension Freshest CRL définie pour l’AC<<BR>>''Use CA Defined'' || oui || ||
|| Utiliser OCSP sans vérification (de signature) <<BR>>''Use OCSP No Check'' || non || ||
|| Utiliser les accès aux informations de l’émetteur (Authority Information Access) <<BR>>''Use Authority Information Access'' || oui || ||
|| Utiliser un serveur OCSP défini pour une AC<<BR>>''Use CA defined OCSP locator'' || oui || ||
|| URI de l’AC émettrice<<BR>>''CA issuer URI'' || (aucun) || ||
|| Utiliser les politiques de certification (Certificate Policies)<<BR>>''Use Certificate Policies'' || non || ||
|| Utiliser les déclarations de certificats qualifiés (QC Statements)<<BR>>''Use Qualified Certificate Statement'' || non || ||
|| Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
|| Autoriser la surcharge des usages de clé (Key Usage) <<BR>>''Allow Key Usage Override'' || non || ||
|| Utiliser les usages de clé étendus (Extended Key Usage)<<BR>>''Use Extended Key Usage'' || oui || ||
|| Usages de clé étendus (Extended Key Usage) à critique || non || ||
|| Usages de clé étendus (Extended Key Usage) || Authentification serveur (serverAuth)<<BR>>Horodatage (timeStamping) || ||
|| Droits d’accès CVC<<BR>>''CVC access rights'' || aucun || ||
|| Utiliser un gabarit (template) MS<<BR>>''Use MS Template Value'' || non || ||
|| Utiliser le suffixe de CN <<BR>>''Use CN Postfix'' || non || ||
|| Utiliser les sous-éléments du DN du sujet<<BR>>''Use a Subset of Subject DN'' || oui || ||
|| Sous-éléments du DN du sujet || CN, OU, O, C || ||
|| Utiliser les sous-éléments du nom alternatif du sujet<<BR>>''Use a Subset of Subject Alt. Name'' || oui || ||
|| Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Nom DNS<<BR>>Adresse IP || ||
|| Tailles de clé disponibles<<BR>>''Available bit lengths'' || 1024 et 2048 || ||
|| AC disponibles <<BR>>''Available CAs'' || Toutes les AC (''Any CA'') || ||
|| Type || Entity (''Entité'') || ||
== Profil de certificat pour un personnel AUF ==
Identique à un certificat de serveur, sauf :
|| || valeur || commentaire ||
|| Durée de validité (jours)<<BR>>''Validity'' || 730 jours || contrat typique de deux ans ||
|| Usages de clé (Key Usage)<<BR>>''Key usage'' || Signature numérique (digitalSignature)<<BR>>Non-répudiation (nonRepudiation)<<BR>>Chiffrement de clés (keyEncipherment)<<BR>>Chiffrement de données (dataEncipherment) || ||
|| Usages de clé étendus (Extended Key Usage) || Authentification client (clientAuth)<<BR>>Signature de code (codeSigning)<<BR>>Protection de courriel (emailProtection)<<BR>>Horodatage (timeStamping)<<BR>>IKE pour IPSec || ||
|| Sous-éléments du nom alternatif du sujet || Autre nom<<BR>>Nom RFC 822 (adresse de courriel)<<BR>>Adresse IP<<BR>>Nom DNS || ||
= Profils d'entités (End Entity Profiles) =
Pour chaque type d'entité, on créé un profil par région, qui sera disponible pour l'AC régionale correspondante.
== Profil d'entité pour un serveur OpenVPN ==
|| ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
|| Nom d'utilisateur || || requis & modifiable ||
|| Mot de passe || || requis & modifiable ||
|| Génération par lot || non || ||
||<-3> ''Champs du DN du sujet'' ||
|| CN || || requis & modifiable ||
|| OU || BXX || requis & non-modifiable ||
|| OU || RPV || requis & non-modifiable ||
|| O || AUF || requis & non-modifiable ||
|| C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
||<-3> ''Champs Subject Alternative Name'' ||
|| Nom DNS || || non-requis & modifiable ||
|| Adresse IP || || non-requis & modifiable ||
|| URI || || non-requis & modifiable ||
||<-3> ||
|| Inverser le DN et le nom alternatif de l’entité || non || ||
|| Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
|| Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
|| Date de début de validité du certificat || ne pas utiliser || ||
|| Date de fin de validité du certificat || || ne pas utiliser ||
|| Profil de certificats par défaut || Serveur OpenVPN || ||
|| Profil de certificats disponible || Serveur OpenVPN || ||
|| AC par défaut || ''AC de la région concernée'' || ||
|| AC disponibles || ''AC de la région concernée'' || ||
|| Token par défaut || Fichier P12 (PKCS #12) || ||
|| Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
|| Nombre de requêtes acceptées || ne pas utiliser || ||
|| Administrateur || ne pas utiliser || ||
|| Permettre la fusion des attributs du DN || non || ||
|| Envoyer la notification par courriel || ''à définir'' || ||
|| Impression des données utilisateur || ne pas utiliser || ||
== Profil d'entité pour un serveur SSL/TLS ==
|| ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
|| Nom d'utilisateur || www.domaine.org || requis & modifiable ||
|| Mot de passe || || requis & modifiable ||
|| Génération par lot || non || ||
||<-3> ''Champs du DN du sujet'' ||
|| CN || www.domaine.org || requis & modifiable ||
|| OU || ''Bureau ...'' || requis & non-modifiable ||
|| O || AUF || requis & non-modifiable ||
|| C || XX;XX;..;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
||<-3> ''Champs Subject Alternative Name'' ||
|| Nom DNS || www.domaine.org || requis & modifiable ||
|| Nom DNS || || non-requis & modifiable ||
|| Nom DNS || || non-requis & modifiable ||
|| Nom DNS || || non-requis & modifiable ||
|| Nom DNS || || non-requis & modifiable ||
||<-3> ||
|| Inverser le DN et le nom alternatif de l’entité || non || ||
|| Domaine du courrier électronique || ''utiliser'' : auf.org || non-requis & modifiable ||
|| Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
|| Date de début de validité du certificat || ne pas utiliser || ||
|| Date de fin de validité du certificat || || ne pas utiliser ||
|| Profil de certificats par défaut || Serveur SSL/TLS || ||
|| Profil de certificats disponible || Serveur SSL/TLS || ||
|| AC par défaut || ''AC de la région concernée'' || ||
|| AC disponibles || ''AC de la région concernée'' || ||
|| Token par défaut || Fichier P12 (PKCS #12) || ||
|| Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
|| Nombre de requêtes acceptées || ne pas utiliser || ||
|| Administrateur || ne pas utiliser || ||
|| Permettre la fusion des attributs du DN || non || ||
|| Envoyer la notification par courriel || ''à définir'' || ||
|| Impression des données utilisateur || ne pas utiliser || ||
== Profil d'entité pour un personnel AUF ==
|| ''Variable'' || ''Valeur par défaut'' || ''Utilisation'' ||
|| Nom d'utilisateur || prenom.nom || requis & modifiable ||
|| Mot de passe || || requis & modifiable ||
|| Génération par lot || non || ||
||<-3> ''Champs du DN du sujet'' ||
|| CN || prenom.nom || requis & modifiable ||
|| OU || ''BXX'' || requis & non-modifiable ||
|| O || AUF || requis & non-modifiable ||
|| C || XX;XX;XX<<BR>>''(liste des pays de la région)'' || requis & non-modifiable ||
||<-3> ''Champs Subject Alternative Name'' ||
|| Nom RFC 822 || Utiliser l’adresse de courriel de l’entité || requis & non-modifiable ||
||<-3> ||
|| Inverser le DN et le nom alternatif de l’entité || non || ||
|| Domaine du courrier électronique || ''utiliser'' : auf.org || requis & non-modifiable ||
|| Champs Attributs d’annuaire du sujet (Subject Directory Attributes) || ''aucun'' || ||
|| Date de début de validité du certificat || || ne pas utiliser ||
|| Date de fin de validité du certificat || || utiliser & modifiable ||
|| Profil de certificats par défaut || Personnel AUF || ||
|| Profil de certificats disponible || Personnel AUF || ||
|| AC par défaut || ''AC de la région concernée'' || ||
|| AC disponibles || ''AC de la région concernée'' || ||
|| Token par défaut || Généré par l'utilisateur || ||
|| Tokens disponibles || Généré par l'utilisateur<<BR>>Fichier P12 (PKCS #12) || ||
|| Nombre de requêtes acceptées || ne pas utiliser || ||
|| Administrateur || ''utiliser'' || par défaut & requis ||
|| Permettre la fusion des attributs du DN || non || ||
|| Envoyer la notification par courriel || ''à définir'' || ||
|| Impression des données utilisateur || ne pas utiliser || ||