Openssl – Creation du CA

Introduction

Dans cette section, nous verrons comment créer le CA (Certification Autority) qui va nous permettre de signer nos certificats nous même.

 

Préliminaires

Nous allons commencer par choisir un bel endroit pour stocker tout ce petit monde. Prenons par exemple: ~admin/certs.

Dans ce document, nous allons utiliser le script CA.pl qui est fournit sur beaucoup de distributions Linux. Dans le cas de la FreeBSD, il se trouve dans: /usr/src/crypto/openssl/apps/ alors que sur une Debian, il est dans: /usr/lib/ssl/misc/. Nous pourrons le copier dans le répertoire courant.

 

Création du CA

Il suffit de taper la commande suivante, puis de répondre aux questions qui seront posées:

$ ./CA.pl -newca
$ CA certificate filename (or enter to create)
$ <press enter if you don't want a special name>
$ Making CA certificate ...
$ Generating a 1024 bit RSA private key
$ ...++++++
$ ................................................++++++
$ writing new private key to './demoCA/private/cakey.pem'
$ Enter PEM pass phrase: <very secret password>
$ Verifying - Enter PEM pass phrase: <very secret password>
$ -----
$ You are about to be asked to enter information that will be incorporated
$ into your certificate request.
$ What you are about to enter is what is called a Distinguished Name or a DN.
$ There are quite a few fields but you can leave some blank
$ For some fields there will be a default value,
$ If you enter '.', the field will be left blank.
$ -----
$ Country Name (2 letter code) [AU]:
$ State or Province Name (full name) [Some-State]: <département>
$ Locality Name (eg, city) []: <ville>
$ Organization Name (eg, company) [Internet Widgits Pty Ltd]: <organisation>
$ Organizational Unit Name (eg, section) []: <section>
$ Common Name (eg, YOUR name) []: <Nom du serveur qui supporte le CA>
$ Email Address []: <adresse email>
$ 
$ Please enter the following 'extra' attributes
$ to be sent with your certificate request
$ A challenge password []:
$ An optional company name []:
$ Using configuration from /etc/ssl/openssl.cnf
$ Enter pass phrase for ./demoCA/private/cakey.pem: <taper le very secret password>
$ Check that the request matches the signature
$ Signature ok
$ Certificate Details:
$         Serial Number:
$             e2:e4:98:2b:53:44:0a:27
$         Validity
$             Not Before: Aug 24 15:19:33 2006 GMT
$             Not After : Aug 23 15:19:33 2009 GMT
$         Subject:
$             countryName               = fr
$             stateOrProvinceName       = alpes maritimes
$             organizationName          = free-4ever
$             organizationalUnitName    = informatique
$             commonName                = www.free-4ever.net
$             emailAddress              = silencer@free-4ever.net
$         X509v3 extensions:
$             X509v3 Subject Key Identifier:
$                 4B:A1:7D:89:C4:3C:DF:6A:7A:0F:93:59:49:28:A3:91:68:07:99:AB
$             X509v3 Authority Key Identifier:
$                 keyid:4B:A1:7D:89:C4:3C:DF:6A:7A:0F:93:59:49:28:A3:91:68:07:99:AB
$                 DirName:/C=fr/ST=alpes maritimes/O=free-4ever/OU=informatique/CN=www.free-4ever.net/emailAddress=silencer@free-4ever.net
$                 serial:E2:E4:98:2B:53:44:0A:27
$ 
$             X509v3 Basic Constraints:
$                 CA:TRUE
$ Certificate is to be certified until Aug 23 15:19:33 2009 GMT (1095 days)
$ 
$ Write out database with 1 new entries
$ Data Base Updated

 

Augmentation de la durée de validité

Il va falloir augmenter la durée de validité de notre CA, sinon dans 1 an, tous nos certificats ne seront plus valides…

Pour cela taper la commande suivante:

$ openssl x509 -in demoCA/cacert.pem -days 3650 -out demoCA/cacert.pem -signkey demoCA/private/cakey.pem
$ Getting Private key
$ Enter pass phrase for demoCA/private/cakey.pem: <taper le very secret password>

Notre CA est maintenant valable pour 10 ans ! C’est toujours bien de prendre une valeur assez longue pour un CA !

 

Mot de la fin

Notre CA est maintenant prêt à être utilisé pour générer des certificats !

Pour cela, vous pouvez lire le document suivant: Création d’un certificat avec le CA


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s