Modifications entre les versions 3 et 20 (s'étendant sur 17 versions)
Version 3 à la date du 2008-02-25 14:17:03
Taille: 2095
Éditeur: ThomasNoël
Commentaire: ouf, merci HSC c'est plus clair ainsi
Version 20 à la date du 2008-03-11 11:48:29
Taille: 4093
Éditeur: ThomasNoël
Commentaire: clé + req en même temps
Texte supprimé. Texte ajouté.
Ligne 1: Ligne 1:
Lectures :
 * http://www.hsc.fr/ressources/breves/ssl_configuration.html.fr
 * http://www.faqs.org/rfcs/rfc2459.html miam miam que du bonheur


Fichier openssl.cnf modèle (en cours d'écriture) : [[attachment:openssl.cnf]]
Ligne 12: Ligne 5:
$ mkdir racine; cd racine; mkdir keys requests certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
Ligne 14: Ligne 7:
 1. Création d'une clef privée 2048 bits, cryptée par un mot de passe :  1. Création d'une clef privée 2048 bits (cryptée par un mot de passe) et d'une requête de certificat :
Ligne 16: Ligne 9:
$ openssl genrsa -out ca-key.pem -des3 2048 racine$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-racine.pem
Ligne 22: Ligne 15:
}}}
 1. Création du certificat auto-signé (on est sur la racine) avec les extensions spécifiques :
 {{{
$ openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -text -config ../openssl.cnf -extensions ca_racine -days $((20*365))
Enter pass phrase for ca-key.pem:
Ligne 36: Ligne 24:
 1. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine):
 {{{
racine$ openssl ca -config ../openssl.cnf -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
Using configuration from ../openssl.cnf
Enter pass phrase for ca-key.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
    (...)
Certificate is to be certified until Mar 5 10:20:49 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
}}}
Ligne 37: Ligne 40:
= Résultat = Note : pour ceux qui connaissent openvpn, on pourrait faire le tout en une seule étape, sans passer par une requête de certificat. Mais en utilisant la technique requête + auto-signature, le certificat auto-signé se retrouve dans la ligne des certificats signés par l'AC (fichier `index.txt`). Je trouve ça plus joli...
Ligne 39: Ligne 42:
 1. Résultats '''Pour aller encore plus vite :'''
Ligne 41: Ligne 44:
$ ls
ca-cert.pem ca-key.pem certs crlnumber index.txt keys newcerts openssl.cnf requests serial		 $ export OPENSSL_CONF=/repertoire/de/openssl.cnf
$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
$ openssl req -newkey rsa:2048 -out request-ca-racine.pem
$ openssl ca -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem
Ligne 44: Ligne 49:
 1. La clé privée est bien encryptée :
== Vérification des résultats ==

Examen du certificat produit (vérification des dates et des extensions) :
Ligne 46: Ligne 54:
$ cat ca-key.pem
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,4BD4AF9549CA734C		 racine$ openssl x509 -text -in ca-cert.pem -noout # liste de toutes les données du certificat, notamment dates et extensions
racine$ openssl x509 -purpose -in ca-cert.pem -noout # liste des utilisations possibles du certificat
}}}
Ligne 51: Ligne 58:
hsGEs99W6Rll5+x2WJlkcoeMpMXihgFaeKErvT/UWor/sJuMkLAZsnP1sRyd/vPf
(...)
DoO4h8lbMXwA6TtOC9uklFghpAmPQpbaYJ8IQMD+YMM=
-----END RSA PRIVATE KEY-----		 = Création d'une AC régionale =

Dans ce qui suit, remplacer `regionX` par le nom abrégé de la région.

 1. Préparation
 {{{
region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
Ligne 56: Ligne 66:
 1. Examen du certificat produit (vérification dates et extensions) :  1. Création de la clé (cryptée par un mot de passe) et établissement de la demande de certificat :
Ligne 58: Ligne 68:
$ openssl x509 -text -in ca-cert.pem -noout # liste de toutes les données du certificat, notamment dates et extensions
$ openssl x509 -purpose -in ca-cert.pem -noout # liste des utilisations possibles du certificat		 region$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-region.pem
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:
(... exemple pour le BAO ...)
Code ISO du pays (2 lettres) [CA]:SN
Province ou region (nom complet) [Quebec]:.
Ville (nom complet) [Montreal]:Dakar
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:AUF-AC-BAO
Adresse electronique (email) [rpv@auf.org]:
Ligne 61: Ligne 83:
 1. Le fichier `request-ca-regionX.pem` est la demande : il doit être envoyé à l'autorité de certification racine

'''Sur l'AC racine''', signature de la demande pour création d'un certificat `certs/ca-regionX.pem` :
 {{{
racine$ openssl ca -config ../openssl.cnf -in request-ca-regionX.pem -extensions ca_region -out certs/ca-regionX.pem
}}}

Le fichier `certs/ca-regionX.pem` est renvoyé à l'autorité régionale, qui le renomme `ca-cert.pem` : c'est le certificat, à côté de `ca-key.pem` qui est la clé privée correspondante.

Création d'une AC racine

  1. Préparation 
    racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  2. Création d'une clef privée 2048 bits (cryptée par un mot de passe) et d'une requête de certificat : 
    racine$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-racine.pem
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem:
(...)
Code ISO du pays (2 lettres) [CA]:
Province ou region (nom complet) [Quebec]:
Ville (nom complet) [Montreal]:
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:
Adresse electronique (email) [rpv@auf.org]:
  3. Auto-signature du certificat (on est sur la racine) avec les extensions spécifiques (ca_racine): 
    racine$ openssl ca -config ../openssl.cnf -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem 
Using configuration from ../openssl.cnf
Enter pass phrase for ca-key.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
    (...)
Certificate is to be certified until Mar  5 10:20:49 2018 GMT (3650 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Note : pour ceux qui connaissent openvpn, on pourrait faire le tout en une seule étape, sans passer par une requête de certificat. Mais en utilisant la technique requête + auto-signature, le certificat auto-signé se retrouve dans la ligne des certificats signés par l'AC (fichier index.txt). Je trouve ça plus joli...

Pour aller encore plus vite : 

  • $ export OPENSSL_CONF=/repertoire/de/openssl.cnf
$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
$ openssl req -newkey rsa:2048 -out request-ca-racine.pem
$ openssl ca -selfsign -extensions ca_racine -in request-ca-racine.pem -out ca-cert.pem

Vérification des résultats

Examen du certificat produit (vérification des dates et des extensions) : 

  • racine$ openssl x509 -text -in ca-cert.pem -noout     # liste de toutes les données du certificat, notamment dates et extensions
racine$ openssl x509 -purpose -in ca-cert.pem -noout  # liste des utilisations possibles du certificat

Création d'une AC régionale

Dans ce qui suit, remplacer regionX par le nom abrégé de la région.

  1. Préparation 
    region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
  2. Création de la clé (cryptée par un mot de passe) et établissement de la demande de certificat : 
    region$ openssl req -config ../openssl.cnf -newkey rsa:2048 -out request-ca-region.pem
Generating RSA private key, 2048 bit long modulus
......................+++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem: 
Verifying - Enter pass phrase for ca-key.pem:
(... exemple pour le BAO ...)
Code ISO du pays (2 lettres) [CA]:SN
Province ou region (nom complet) [Quebec]:.
Ville (nom complet) [Montreal]:Dakar
Organisation [AUF]:
Unite (implantation, service, programme, ...) [DRI]:
Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]:AUF-AC-BAO
Adresse electronique (email) [rpv@auf.org]:

  3. Le fichier request-ca-regionX.pem est la demande : il doit être envoyé à l'autorité de certification racine

Sur l'AC racine, signature de la demande pour création d'un certificat certs/ca-regionX.pem : 

  • racine$ openssl ca -config ../openssl.cnf -in request-ca-regionX.pem -extensions ca_region -out certs/ca-regionX.pem

Le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem : c'est le certificat, à côté de ca-key.pem qui est la clé privée correspondante.

Projet/PKI/Archives/PKIOpenSSL/CréationDesAutorités (dernière édition le 2008-10-14 09:26:15 par ThomasNoël)