Projet / PKI / Archives / PKIOpenSSL / UtilisationDesAutorités

Emission de certificats

Principe :

  1. Le demandeur génère une clé privée
  2. A partir de cette clé, il établit une demande de certificat. Elle contient les informations nécessaires, surtout au niveau du CN (canonical name, nom canonique)

  3. La demande est envoyée à l'Autorité de Certification (AC) régionale concernée, en précisant le type de certificat attendu en retour
  4. l'AC signe la demande afin de produire le certificat. Celui-ci possède certaines extensions x509v3 en fonction du type de certificat demandé
  5. l'AC renvoie le certificat au demandeur

Certificat pour un serveur type Web, IMAP, SMTP, ...

Lors de la demande de certificat, on indique le nom du serveur dans le champ "CN", c'est à dire le Nom canonique.

Sur la machine cible, création de la clé et de la demande de certificat :

La demande serveur-request.pem doit être envoyée à l'autorité régionale, qui la signera pour en faire un certificat.

Sur l'AC régionale, signature de la demande et création du certificat certs/serveur.pem :

Le certificat certs/serveur-cert.pem est alors renvoyé au serveur.

/!\ Par défaut la clé serveur-key.pem générée sur le serveur est cryptée. Cela peut être problématique si elle doit être utilisée par un serveur qui doit démarrer automatiquement. Dans ce cas on peut vouloir obtenir une version non cryptée de la clé : openssl rsa -in serveur-key.pem -out serveur-clear.pem

Pour un serveur avec plusieurs noms (VirtualHost)

Pour un serveur avec plusieurs noms possibles (cas d'un serveur web avec plusieurs VirtualHost sur une seule adresse IP), il faut le préciser lors de la demande de certificat. Pour cela, positionner la variable d'environnement ALTNAME et utiliser le jeu d'extensions alt_req :

Note : une fois le certificat généré, il est impossible d'y rajouter un nom. Pour cela, il faut demander un nouveau certificat (l'ancien est alors révoqué).

Noeuds OpenVPN pour le RPV2

Deux certificats : un "server" (écoute les connexions), un "client" (établissement des connexions, lancé par autotun)

Lors de la signature par l'AC : un "-extensions server" et un "-extensions client"

Idée/Question : deux certifs pour une seule clé privée, ça serait plus simple à gérer (une seule demande à émettre, deux certifs reçus)

Utilisateur OpenVPN du RPV2 (nomade)

Révocation d'un certificat

Projet/PKI/Archives/PKIOpenSSL/UtilisationDesAutorités (dernière édition le 2008-10-14 09:26:11 par ThomasNoël)