3019
Commentaire: bon là déjà on peut commencer à jouer
|
2328
|
Texte supprimé. | Texte ajouté. |
Ligne 1: | Ligne 1: |
Lectures : * http://www.hsc.fr/ressources/breves/ssl_configuration.html.fr * http://www.faqs.org/rfcs/rfc2459.html miam miam que du bonheur Fichier openssl.cnf modèle (en cours d'écriture) : [[attachment:openssl.cnf]] |
|
Ligne 37: | Ligne 31: |
== Résultats == | == Vérification des résultats == |
Ligne 39: | Ligne 33: |
1. La clé privée est bien encryptée : {{{ racine$ cat ca-key.pem -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,4BD4AF9549CA734C hsGEs99W6Rll5+x2WJlkcoeMpMXihgFaeKErvT/UWor/sJuMkLAZsnP1sRyd/vPf (...) DoO4h8lbMXwA6TtOC9uklFghpAmPQpbaYJ8IQMD+YMM= -----END RSA PRIVATE KEY----- }}} 1. Examen du certificat produit (vérification dates et extensions) : |
Examen du certificat produit (vérification dates et extensions) : |
Ligne 70: | Ligne 52: |
'''Sur l'AC racine''', signature de la demande pour création d'un certificat `carts.ca-regionX.pem` : | '''Sur l'AC racine''', signature de la demande pour création d'un certificat `certs/ca-regionX.pem` : |
Ligne 72: | Ligne 54: |
racine$ openssl ca -out certs/ca-regionX.pem -config ../openssl.cnf -extensions ca_region -infiles ca-req-BAO.pem | racine$ openssl ca -config ../openssl.cnf -in ca-req-BAO.pem -extensions ca_region -out certs/ca-regionX.pem |
Ligne 76: | Ligne 58: |
Ligne 77: | Ligne 60: |
= Emission de certificats = /* selon le type : serveur, client, personnel */ = Gestion des cRLs = = fabrication du CAPath AUF = |
Création d'une AC racine
- Préparation
racine$ mkdir racine; cd racine; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand
- Création d'une clef privée 2048 bits, cryptée par un mot de passe :
racine$ openssl genrsa -out ca-key.pem -des3 2048 Generating RSA private key, 2048 bit long modulus ......................+++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem:
- Création du certificat auto-signé (on est sur la racine) avec les extensions spécifiques :
racine$ openssl req -new -x509 -key ca-key.pem -out ca-cert.pem -text -config ../openssl.cnf -extensions ca_racine -days $((20*365)) Enter pass phrase for ca-key.pem: (...) Code ISO du pays (2 lettres) [CA]: Province ou region (nom complet) [Quebec]: Ville (nom complet) [Montreal]: Organisation [AUF]: Unite (implantation, service, programme, ...) [DRI]: Nom canonique (TOUJOURS TRES IMPORTANT) [AUF-AC-RACINE]: Adresse electronique (email) [rpv@auf.org]:
Vérification des résultats
Examen du certificat produit (vérification dates et extensions) :
racine$ openssl x509 -text -in ca-cert.pem -noout # liste de toutes les données du certificat, notamment dates et extensions racine$ openssl x509 -purpose -in ca-cert.pem -noout # liste des utilisations possibles du certificat
Création d'une AC régionale
- Préparation
region$ mkdir regionX; cd regionX; mkdir certs newcerts ; echo 01 > serial ; echo 01 > crlnumber ; touch index.txt .rand region$ openssl genrsa -out ca-key.pem -des3 2048 # création de la clé
- Etablissement de la demande de certificat
region$ openssl req -new -key ca-key.pem -out ca-request.pem -text -config ../openssl.cnf
Le fichier ca-request.pem est la demande : il doit être envoyé à l'autorité de certification racine
Sur l'AC racine, signature de la demande pour création d'un certificat certs/ca-regionX.pem :
racine$ openssl ca -config ../openssl.cnf -in ca-req-BAO.pem -extensions ca_region -out certs/ca-regionX.pem
Le fichier certs/ca-regionX.pem est renvoyé à l'autorité régionale, qui le renomme ca-cert.pem.