Modifications entre les versions 16 et 17
Version 16 à la date du 2008-03-07 10:12:34
Taille: 2505
Éditeur: ThomasNoël
Commentaire: noms des fichiers un peu plus claires
Version 17 à la date du 2008-03-07 10:22:53
Taille: 3120
Éditeur: ThomasNoël
Commentaire: signature racine : on passe par une étape requete + signature, plus cohérente et plus "propre" à mon goût
Texte supprimé. Texte ajouté.
Ligne 16: Ligne 16:
 1. Création du certificat auto-signé (on est sur la racine) avec les extensions spécifiques :  1. Etablissement de la demande de certificat (qui sera ensuite auto-signé) :
Ligne 18: Ligne 18:
racine$ openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -text -config ../openssl.cnf -extensions ca_racine -days $((20*365)) racine$ openssl req -config ../openssl.cnf -new -key ca-key.pem -out request-ca-racine.pem -text
Ligne 29: Ligne 29:
 1. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine):
 {{{
racine$ openssl ca -config ../openssl.cnf -in request-ca-racine.pem -out ca-cert.pem -selfsign -keyfile ca-key.pem -extensions ca_racine -days $((10*365))
Using configuration from ../openssl.cnf
Enter pass phrase for ca-key.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
    (...)
Certificate is to be certified until Mar 5 10:20:49 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
}}}
Ligne 32: Ligne 47:
Examen du certificat produit (vérification dates et extensions) : Examen du certificat produit (vérification des dates et des extensions) :

Création d'une AC racine

  1. Préparation 
    racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  2. Création d'une clef privée 2048 bits, cryptée par un mot de passe : 
    racine$ openssl genrsa -out ca-key.pem -des3 2048
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem:
  3. Etablissement de la demande de certificat (qui sera ensuite auto-signé) : 
    racine$ openssl req -config ../openssl.cnf -new -key ca-key.pem -out request-ca-racine.pem -text
Enter pass phrase for ca-key.pem:
(...)
Code ISO du pays (2 lettres) [CA]:
Province ou region (nom complet) [Quebec]:
Ville (nom complet) [Montreal]:
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:
Adresse electronique (email) [rpv@auf.org]:
  4. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine): 
    racine$ openssl ca -config ../openssl.cnf -in request-ca-racine.pem -out ca-cert.pem -selfsign -keyfile ca-key.pem -extensions ca_racine -days $((10*365))
Using configuration from ../openssl.cnf
Enter pass phrase for ca-key.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
    (...)
Certificate is to be certified until Mar  5 10:20:49 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Vérification des résultats

Examen du certificat produit (vérification des dates et des extensions) : 

  • racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat

Création d'une AC régionale

Dans ce qui suit, remplacer regionX par le nom abrégé de la région.

  1. Préparation 
    region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand 
region$ openssl genrsa -out ca-key.pem -des3 2048    # création de la clé
  2. Etablissement de la demande de certificat 
    region$ openssl req -new -key ca-key.pem -out request-ca-regionX.pem -text -config ../openssl.cnf

  3. Le fichier request-ca-regionX.pem est la demande : il doit être envoyé à l'autorité de certification racine

Sur l'AC racine, signature de la demande pour création d'un certificat certs/ca-regionX.pem : 

  • racine$ openssl ca -config ../openssl.cnf -in request-ca-regionX.pem -extensions ca_region -out certs/ca-regionX.pem

Le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem (certificat, à côté de ca-key.pem qui est la clé privée correspondante).

Projet/PKI/Archives/PKIOpenSSL/CréationDesAutorités (dernière édition le 2008-10-14 09:26:15 par ThomasNoël)