Préliminaires

Dans tout ce qui suit openssl-auf.cnf est le fichier disponible sur le dépôt git associé au projet PKI. Ce fichier sera inclus dans le paquet ca-certificates-auf, à venir.

Pour éviter d'avoir à préciser systématiquement -config openssl-auf.cnf lors de l'appel à openssl, on peut fixer la variable d'environnement OPENSSL_CONF. On peut par exemple le faire dans le script de connexion de l'utilisateur qui devra gérer l'autorité de certification :

• # (... à ajouter à la fin de ~∕.bashrc ...)
  # pour éviter de devoir systématiquement préciser -config ... 
  export OPENSSL_CONF=/etc/ssl/openssl-auf.cnf

Création d'une AC racine

1. Préparation

   racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand

2. Création d'une clef privée 2048 bits (cryptée par un mot de passe) et d'une requête de certificat :

   racine$ openssl req -config openssl-auf.cnf -newkey rsa:2048 -out request-ca-racine.pem
   Generating RSA private key, 2048 bit long modulus
   ......................+++
   e is 65537 (0x10001)
   Enter pass phrase for ca-key.pem:
   Verifying - Enter pass phrase for ca-key.pem:
   (...)
   Code ISO du pays (2 lettres) [CA]:
   Province ou region (nom complet) [Quebec]:
   Ville (nom complet) [Montreal]:
   Organisation [AUF]:
   Unite (implantation, service, programme, ...) [DRI]:
   Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:
   Adresse electronique (email) [rpv@auf.org]:

3. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine):

   racine$ openssl ca -config openssl-auf.cnf -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
   Using configuration from openssl-auf.cnf
   Enter pass phrase for ca-key.pem:
   Check that the request matches the signature
   Signature ok
   Certificate Details:
       (...)
   Certificate is to be certified until Mar  5 10:20:49 2018 GMT (3650 days)
   Sign the certificate? [y/n]:y
   1 out of 1 certificate requests certified, commit? [y/n]y
   Write out database with 1 new entries
   Data Base Updated

4. Un peu de protection contre les mauvaise manipulations :

   $ chmod 0400 ca-key.pem
   $ chmod 0444 ca-cert.pem

5. Initialisation de la CRL (sera forcément vite) :

   $ openssl ca -config openssl-auf.cnf -gencrl -out ca-crl.pem             <-- au format PEM
   $ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der   <-- et transformation en format DER (pour diffusion)

Note : pour ceux qui connaissent openssl, on pourrait faire le tout en une seule étape, sans passer par une requête de certificat. Mais en utilisant la technique requête + auto-signature, le certificat auto-signé se retrouve dans la ligne des certificats signés par l'AC (fichier index.txt). Je trouve ça plus cohérent.

Pour résumer :

• $ export OPENSSL_CONF=/etc/ssl/openssl-auf.cnf
  $ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  $ openssl req -newkey rsa:2048 -out request-ca-racine.pem
  $ openssl ca -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
  $ chmod 0400 ca-key.pem ; chmod 0444 ca-cert.pem
  $ openssl ca -gencrl -out ca-crl.pem ; openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der

Vérification des résultats

Examen du certificat produit (vérification des dates et des extensions) :

• racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
  racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat

Création d'une AC régionale

Dans ce qui suit, remplacer regionX par le nom abrégé de la région.

1. Préparation

   region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand

2. Création de la clé (cryptée par un mot de passe) et établissement de la demande de certificat :

   region$ openssl req -config openssl-auf.cnf -newkey rsa:2048 -out request-ca-region.pem
   Generating RSA private key, 2048 bit long modulus
   ......................+++
   e is 65537 (0x10001)
   Enter pass phrase for ca-key.pem:
   Verifying - Enter pass phrase for ca-key.pem:
   (... exemple pour le BAO ...)
   Code ISO du pays (2 lettres) [CA]:SN
   Province ou region (nom complet) [Quebec]:.
   Ville (nom complet) [Montreal]:Dakar
   Organisation [AUF]:
   Unite (implantation, service, programme, ...) [DRI]:
   Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:AUF-AC-BAO
   Adresse electronique (email) [rpv@auf.org]:

3. Le fichier request-ca-regionX.pem est la demande : il doit être envoyé à l'autorité de certification racine

4. Sur l'AC racine : la demande est signée et devient un certificat certs/ca-regionX.pem qui possède les extensions x509 requises pour une autorité de certification :

   racine$ openssl ca -config openssl-auf.cnf -in request-ca-regionX.pem -extensions ca_region -out certs/ca-regionX.pem

5. Retour à l'AC régionale : le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem : c'est le certificat, placé à côté de ca-key.pem qui est la clé privée correspondante.

6. Un peu de protection contre les mauvaise manipulations :

   $ chmod 0400 ca-key.pem
   $ chmod 0444 ca-cert.pem

7. Initialisation de la CRL (sera forcément vite). Noter qu'on indique à openssl la variable d'environnement REGION qui doit contenir le nom de la région (typiquement bao ou beom, en minuscules), cette variable est utilisée dans des extensions ajoutées à la CRL :

   $ REGION=xxxx openssl ca -config openssl-auf.cnf -gencrl -out ca-crl.pem     <-- au format PEM
   $ openssl crl -inform PEM -in ca-crl.pem -outform DER -out ca-crl.der       <-- et transformation en format DER (pour diffusion)