Modifications entre les versions 18 et 21 (s'étendant sur 3 versions)
Version 18 à la date du 2008-03-07 16:17:54
Taille: 3102
Éditeur: ThomasNoël
Commentaire: durée 10 ans pour la racine, c'est par défaut
Version 21 à la date du 2008-03-11 20:25:04
Taille: 5536
Éditeur: ThomasNoël
Commentaire: initialisation des crl lors de la création des AC
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:

Dans ce qui suit `../openssl.cnf` est le fichier disponible ici : http://git.auf.org/?p=pki;a=blob;f=openssl.cnf;hb=HEAD
Ligne 5: Ligne 8:
racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand  racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
Ligne 7: Ligne 10:
 1. Création d'une clef privée 2048 bits, cryptée par un mot de passe :  1. Création d'une clef privée 2048 bits (cryptée par un mot de passe) et d'une requête de certificat :
Ligne 9: Ligne 12:
racine$ openssl genrsa -out ca-key.pem -des3 2048 racine$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-racine.pem
Ligne 13: Ligne 16:
Enter pass phrase for ca-key.pem:  Enter pass phrase for ca-key.pem:
Ligne 15: Ligne 18:
}}}
 1. Etablissement de la demande de certificat (qui sera ensuite auto-signé) :
 {{{
racine$ openssl req -config ../openssl.cnf -new -key ca-key.pem -out request-ca-racine.pem -text
Enter pass phrase for ca-key.pem:
Ligne 31: Ligne 29:
racine$ openssl ca -config ../openssl.cnf -in request-ca-racine.pem -out ca-cert.pem -selfsign -keyfile ca-key.pem -extensions ca_racine racine$ openssl ca -config ../openssl.cnf -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
Ligne 43: Ligne 41:
}}}
 1. Un peu de protection contre les mauvaise manipulations :
 {{{
$ chmod 0400 ca-key.pem
$ chmod 0444 ca-cert.pem
}}}
 1. Initialisation de la CRL (sera forcément vite) :
 {{{
$ openssl ca -config ../openssl.cnf -gencrl -out ca-crl.pem <-- au format PEM
$ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der <-- et transformation en format DER (pour diffusion)
}}}

Note : pour ceux qui connaissent openvpn, on pourrait faire le tout en une seule étape, sans passer par une requête de certificat. Mais en utilisant la technique requête + auto-signature, le certificat auto-signé se retrouve dans la ligne des certificats signés par l'AC (fichier `index.txt`). Je trouve ça plus joli...

'''Pour aller encore plus vite :'''
 {{{
$ export OPENSSL_CONF=/repertoire/de/openssl.cnf
$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
$ openssl req -newkey rsa:2048 -out request-ca-racine.pem
$ openssl ca -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
$ chmod 0400 ca-key.pem ; chmod 0444 ca-cert.pem
$ openssl ca -gencrl -out ca-crl.pem ; openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der
Ligne 59: Ligne 79:
region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand  region$ openssl genrsa -out ca-key.pem -des3 2048 # création de la clé region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
Ligne 62: Ligne 81:
 1. Etablissement de la demande de certificat  1. Création de la clé (cryptée par un mot de passe) et établissement de la demande de certificat :
Ligne 64: Ligne 83:
region$ openssl req -new -key ca-key.pem -out request-ca-regionX.pem -text -config ../openssl.cnf region$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-region.pem
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
(... exemple pour le BAO ...)
Code ISO du pays (2 lettres) [CA]:SN
Province ou region (nom complet) [Quebec]:.
Ville (nom complet) [Montreal]:Dakar
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:AUF-AC-BAO
Adresse electronique (email) [rpv@auf.org]:
Ligne 67: Ligne 99:

'''Sur l'AC racine''', signature de la demande pour création d'un certificat `certs/ca-regionX.pem` :
 1. '''Sur l'AC racine''' : la demande est signée et devient un certificat `certs/ca-regionX.pem` qui possède les extensions x509 requises pour une autorité de certification :
Ligne 72: Ligne 103:

Le fichier `certs/ca-regionX.pem` est renvoyé à l'autorité régionale, qui le renomme `ca-cert.pem` (certificat, à côté de `ca-key.pem` qui est la clé privée correspondante).

/* vérifications ... */
 1. '''Retour à l'AC régionale''' : le fichier `certs/ca-regionX.pem` est renvoyé à l'autorité régionale, qui le renomme `ca-cert.pem` : c'est le certificat, placé à côté de `ca-key.pem` qui est la clé privée correspondante.
 1. Un peu de protection contre les mauvaise manipulations :
 {{{
$ chmod 0400 ca-key.pem
$ chmod 0444 ca-cert.pem
}}}
 1. Initialisation de la CRL (sera forcément vite). Noter qu'on indique à `openssl` la variable d'environnement `REGION` qui doit contenir le nom de la région (typiquement `bao` ou `beom`, en minuscules), cette variable est utilisée dans des extensions ajoutées à la CRL :
 {{{
$ REGION=xxxx openssl ca -config ../openssl.cnf -gencrl -out ca-crl.pem <-- au format PEM
$ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der <-- et transformation en format DER (pour diffusion)
}}}

Dans ce qui suit ../openssl.cnf est le fichier disponible ici : http://git.auf.org/?p=pki;a=blob;f=openssl.cnf;hb=HEAD

Création d'une AC racine

  1. Préparation
    racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  2. Création d'une clef privée 2048 bits (cryptée par un mot de passe) et d'une requête de certificat :
    racine$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-racine.pem
    Generating RSA private key, 2048 bit long modulus
    ......................+++
    e is 65537 (0x10001)
    Enter pass phrase for ca-key.pem:
    Verifying - Enter pass phrase for ca-key.pem:
    (...)
    Code ISO du pays (2 lettres) [CA]:
    Province ou region (nom complet) [Quebec]:
    Ville (nom complet) [Montreal]:
    Organisation [AUF]:
    Unite (implantation, service, programme, ...) [DRI]:
    Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:
    Adresse electronique (email) [rpv@auf.org]:
  3. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine):
    racine$ openssl ca -config ../openssl.cnf -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
    Using configuration from ../openssl.cnf
    Enter pass phrase for ca-key.pem:
    Check that the request matches the signature
    Signature ok
    Certificate Details:
        (...)
    Certificate is to be certified until Mar  5 10:20:49 2018 GMT (3650 days)
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    Write out database with 1 new entries
    Data Base Updated
  4. Un peu de protection contre les mauvaise manipulations :
    $ chmod 0400 ca-key.pem
    $ chmod 0444 ca-cert.pem
  5. Initialisation de la CRL (sera forcément vite) :
    $ openssl ca -config ../openssl.cnf -gencrl -out ca-crl.pem             <-- au format PEM
    $ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der   <-- et transformation en format DER (pour diffusion)

Note : pour ceux qui connaissent openvpn, on pourrait faire le tout en une seule étape, sans passer par une requête de certificat. Mais en utilisant la technique requête + auto-signature, le certificat auto-signé se retrouve dans la ligne des certificats signés par l'AC (fichier index.txt). Je trouve ça plus joli...

Pour aller encore plus vite :

  • $ export OPENSSL_CONF=/repertoire/de/openssl.cnf
    $ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
    $ openssl req -newkey rsa:2048 -out request-ca-racine.pem
    $ openssl ca -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
    $ chmod 0400 ca-key.pem ; chmod 0444 ca-cert.pem
    $ openssl ca -gencrl -out ca-crl.pem ; openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der

Vérification des résultats

Examen du certificat produit (vérification des dates et des extensions) :

  • racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
    racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat

Création d'une AC régionale

Dans ce qui suit, remplacer regionX par le nom abrégé de la région.

  1. Préparation
    region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  2. Création de la clé (cryptée par un mot de passe) et établissement de la demande de certificat :
    region$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-region.pem
    Generating RSA private key, 2048 bit long modulus
    ......................+++
    e is 65537 (0x10001)
    Enter pass phrase for ca-key.pem:
    Verifying - Enter pass phrase for ca-key.pem:
    (... exemple pour le BAO ...)
    Code ISO du pays (2 lettres) [CA]:SN
    Province ou region (nom complet) [Quebec]:.
    Ville (nom complet) [Montreal]:Dakar
    Organisation [AUF]:
    Unite (implantation, service, programme, ...) [DRI]:
    Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:AUF-AC-BAO
    Adresse electronique (email) [rpv@auf.org]:
  3. Le fichier request-ca-regionX.pem est la demande : il doit être envoyé à l'autorité de certification racine

  4. Sur l'AC racine : la demande est signée et devient un certificat certs/ca-regionX.pem qui possède les extensions x509 requises pour une autorité de certification :

    racine$ openssl ca -config ../openssl.cnf -in request-ca-regionX.pem -extensions ca_region -out certs/ca-regionX.pem
  5. Retour à l'AC régionale : le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem : c'est le certificat, placé à côté de ca-key.pem qui est la clé privée correspondante.

  6. Un peu de protection contre les mauvaise manipulations :
    $ chmod 0400 ca-key.pem
    $ chmod 0444 ca-cert.pem
  7. Initialisation de la CRL (sera forcément vite). Noter qu'on indique à openssl la variable d'environnement REGION qui doit contenir le nom de la région (typiquement bao ou beom, en minuscules), cette variable est utilisée dans des extensions ajoutées à la CRL :

    $ REGION=xxxx openssl ca -config ../openssl.cnf -gencrl -out ca-crl.pem     <-- au format PEM
    $ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der       <-- et transformation en format DER (pour diffusion)

Projet/PKI/Archives/PKIOpenSSL/CréationDesAutorités (dernière édition le 2008-10-14 09:26:15 par ThomasNoël)