Création d'une AC racine

Préparation

racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand

Création d'une clef privée 2048 bits, cryptée par un mot de passe :

racine$ openssl genrsa -out ca-key.pem -des3 2048
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem:

Création du certificat auto-signé (on est sur la racine) avec les extensions spécifiques :

racine$ openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -text -config ../openssl.cnf -extensions ca_racine -days $((20*365))
Enter pass phrase for ca-key.pem:
(...)
Code ISO du pays (2 lettres) [CA]:
Province ou region (nom complet) [Quebec]:
Ville (nom complet) [Montreal]:
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:
Adresse electronique (email) [rpv@auf.org]:

Résultats

La clé privée est bien encryptée :

racine$ cat ca-key.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,4BD4AF9549CA734C

hsGEs99W6Rll5+x2WJlkcoeMpMXihgFaeKErvT/UWor/sJuMkLAZsnP1sRyd/vPf
(...)
DoO4h8lbMXwA6TtOC9uklFghpAmPQpbaYJ8IQMD+YMM=
-----END RSA PRIVATE KEY-----

Examen du certificat produit (vérification dates et extensions) :

racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat

Création d'une AC régionale

Préparation

region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand 
region$ openssl genrsa -out ca-key.pem -des3 2048    # création de la clé

Etablissement de la demande de certificat

region$ openssl req -new -key ca-key.pem -out ca-request.pem -text -config ../openssl.cnf

Le fichier ca-request.pem est la demande : il doit être envoyé à l'autorité de certification racine

Sur l'AC racine, signature de la demande pour création d'un certificat carts.ca-regionX.pem :

racine$ openssl ca -out certs/ca-regionX.pem -config ../openssl.cnf -extensions ca_region -infiles ca-req-BAO.pem

Le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem. vérifications ...

Emission de certificats

Gestion des cRLs

fabrication du CAPath AUF

Projet/PKI/Archives/PKIOpenSSL/CréationDesAutorités (dernière édition le 2008-10-14 09:26:15 par ThomasNoël)

-  ⇤ ← Version 2 à la date du 2008-02-25 12:32:28 → 
  Taille: 3692
  Éditeur: ThomasNoël
  Commentaire: se taper une RFC...
+   ← Version 4 à la date du 2008-02-25 14:54:57 → ⇥
  Taille: 3019
  Éditeur: ThomasNoël
  Commentaire: bon là déjà on peut commencer à jouer
-Texte supprimé.
+Texte ajouté.
 Ligne 1:
-Ligne 13:
+Ligne 12:
-$ mkdir racine
$ cd racine
$ mkdir keys requests certs newcerts
$ echo 01 > serial
$ echo 01 > crlnumber
$ touch index.txt .rand
$ chmod 400 .rand
$ cp /modele/openssl.cnf .
+racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
-Ligne 22:
+Ligne 14:
-. Création de la clé et du certificat auto-signé :
+. Création d'une clef privée 2048 bits, cryptée par un mot de passe :
-Ligne 25:
+Ligne 16:
-$ openssl req -config ./openssl.cnf -new -x509 -text -out ca-cert.pem -days $((20*365))
Generating a 1024 bit RSA private key
.........++++++
.....................................................++++++
writing new private key to 'ca-key.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Code ISO pays (2 lettres) [CA]:
Province ou Region (nom complet) [Quebec]:
+racine$ openssl genrsa -out ca-key.pem -des3 2048
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem:
}}}
 1. Création du certificat auto-signé (on est sur la racine) avec les extensions spécifiques :
 {{{
racine$ openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -text -config ../openssl.cnf -extensions ca_racine -days $((20*365))
Enter pass phrase for ca-key.pem:
(...)
Code ISO du pays (2 lettres) [CA]:
Province ou region (nom complet) [Quebec]:
-Ligne 46:
+Ligne 34:
-Adresse e-mail [rpv@auf.org]:
+Adresse electronique (email) [rpv@auf.org]:
-Ligne 48:
+Ligne 36:
-. Résultats 
 {{{
$ ls
ca-cert.pem  ca-key.pem  certs  crlnumber  index.txt  keys  newcerts  openssl.cnf  requests  serial
}}}
+== Résultats ==
-Ligne 55:
+Ligne 41:
-$ cat ca-key.pem
+racine$ cat ca-key.pem
-Ligne 58:
+Ligne 44:
-DEK-Info: DES-EDE3-CBC,2ECD333F18F369EB
+DEK-Info: DES-EDE3-CBC,4BD4AF9549CA734C
-Ligne 67:
+Ligne 53:
-$ cat ca-cert.pem 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            ab:21:06:a3:13:fd:5e:57
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=CA, ST=Quebec, L=Montreal, O=AUF, OU=DRI, CN=AUF-AC-RACINE/emailAddress=rpv@auf.org
        Validity
            Not Before: Feb 25 00:01:16 2008 GMT
            Not After : Feb 20 00:01:16 2028 GMT
        Subject: C=CA, ST=Quebec, L=Montreal, O=AUF, OU=DRI, CN=AUF-AC-RACINE/emailAddress=rpv@auf.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:af:08:7d:88:73:55:ba:f2:8e:ce:c0:de:d8:a5:
                    (...)
                    c3:3e:07:98:c7:b7:0d:ba:a7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                4B:C5:0B:8E:8B:65:F2:6F:05:21:46:B9:16:B7:A8:52:C5:CB:55:33
            X509v3 Authority Key Identifier: 
                keyid:4B:C5:0B:8E:8B:65:F2:6F:05:21:46:B9:16:B7:A8:52:C5:CB:55:33
                DirName:/C=CA/ST=Quebec/L=Montreal/O=AUF/OU=DRI/CN=AUF-AC-RACINE/emailAddress=rpv@auf.org
                serial:AB:21:06:A3:13:FD:5E:57
+racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat
}}}
-Ligne 95:
+Ligne 57:
-            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
        24:2f:3b:fa:fc:e0:d8:80:75:73:86:b7:0f:07:1f:05:26:d9:
        (...)
        79:e7
-----BEGIN CERTIFICATE-----
MIIDbzCCAtigAwIBAgIJAKshBqMT/V5XMA0GCSqGSIb3DQEBBQUAMIGBMQswCQYD
(...)
mrdR/A2z3wCg34MlrhXnh+t55w==
-----END CERTIFICATE-----
+= Création d'une AC régionale =

 1. Préparation
 {{{
region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand 
region$ openssl genrsa -out ca-key.pem -des3 2048    # création de la clé
-Ligne 107:
+Ligne 64:
+. Etablissement de la demande de certificat
 {{{
region$ openssl req -new -key ca-key.pem -out ca-request.pem -text -config ../openssl.cnf 
}}}
 1. Le fichier `ca-request.pem` est la demande : il doit être envoyé à l'autorité de certification racine

'''Sur l'AC racine''', signature de la demande pour création d'un certificat `carts.ca-regionX.pem` :
 {{{
racine$ openssl ca -out certs/ca-regionX.pem -config ../openssl.cnf -extensions ca_region -infiles ca-req-BAO.pem
}}}

Le fichier `certs/ca-regionX.pem` est renvoyé à l'autorité régionale, qui le renomme `ca-cert.pem`.
/* vérifications ... */

= Emission de certificats =

/* selon le type : serveur, client, personnel */

= Gestion des cRLs =

= fabrication du CAPath AUF =

WikiTeki / Modifications de « Projet/PKI/Archives/PKIOpenSSL/CréationDesAutorités »