Openssl – Creation du certificat

Introduction

Dans cette section, nous verrons comment créer un certificat en utilisant notre CA que nous venons de créer dans ce document: Création de l’autorité de certification.

 

Préliminaires

Pas de préliminaire ici… Il faut juste se placer dans le répertoire précédemment utilisé: ~admin/certs.

Nous allons encore utiliser le script CA.pl

 

Création de la requête de certificat

Il suffit de taper la commande suivante, puis de répondre aux questions qui seront posées:

$ ./CA.pl -newreq
$ Generating a 1024 bit RSA private key
$ ................................................++++++
$ ............................................++++++
$ writing new private key to 'newkey.pem'
$ Enter PEM pass phrase: <secret password pour la clef du certificat>
$ Verifying - Enter PEM pass phrase: <secret password pour la clef du certificat>
$ -----
$ You are about to be asked to enter information that will be incorporated
$ into your certificate request.
$ What you are about to enter is what is called a Distinguished Name or a DN.
$ There are quite a few fields but you can leave some blank
$ For some fields there will be a default value,
$ If you enter '.', the field will be left blank.
$ -----
$ Country Name (2 letter code) [AU]:
$ State or Province Name (full name) [Some-State]: <département>
$ Locality Name (eg, city) []: <ville>
$ Organization Name (eg, company) [Internet Widgits Pty Ltd]: <organisation>
$ Organizational Unit Name (eg, section) []: <section>
$ Common Name (eg, YOUR name) []: <LE NOM DNS COMPLET DU SERVEUR>
$ Email Address []: <adresse email>
$ 
$ Please enter the following 'extra' attributes
$ to be sent with your certificate request
$ A challenge password []:
$ An optional company name []:
$ Request is in newreq.pem, private key is in newkey.pem

Nous avons maintenant une requête de certificat dans le fichier newreq.pem et sa clef privée associée dans le fichier newkey.pem. La demande de certificat a une durée de validité d’un an par défaut.

 

Signature de la requête de certificat

Il suffit de taper la commande suivante, puis de répondre aux questions qui seront posées:

$ ./CA.pl -sign
$ Using configuration from /usr/lib/ssl/openssl.cnf
$ Enter pass phrase for ./demoCA/private/cakey.pem: <Taper le very secret password>
$ Check that the request matches the signature
$ Signature ok
$ Certificate Details:
$         Serial Number:
$             e2:e4:98:2b:53:44:0a:28
$         Validity
$             Not Before: Aug 24 15:48:34 2006 GMT
$             Not After : Aug 24 15:48:34 2007 GMT
$         Subject:
$             countryName               = AU
$             stateOrProvinceName       = Some-State
$             organizationName          = Internet Widgits Pty Ltd
$             commonName                = test.centile.com
$         X509v3 extensions:
$             X509v3 Basic Constraints:
$                 CA:FALSE
$             Netscape Comment:
$                 OpenSSL Generated Certificate
$             X509v3 Subject Key Identifier:
$                 A3:A5:0E:48:02:34:76:9C:11:7C:02:72:B1:77:15:AC:8D:5C:BD:4D
$             X509v3 Authority Key Identifier:
$                 keyid:4B:A1:7D:89:C4:3C:DF:6A:7A:0F:93:59:49:28:A3:91:68:07:99:AB
$ 
$ Certificate is to be certified until Aug 24 15:48:34 2007 GMT (365 days)
$ Sign the certificate? [y/n]:<y>
$ 
$ 
$ 1 out of 1 certificate requests certified, commit? [y/n]<y>
$ Write out database with 1 new entries
$ Data Base Updated
$ Signed certificate is in newcert.pem

Notre certificat « maison » est maintenant signé. Il se trouve dans le fichier newcert.pem

 

Décryptage de la clef

Le décryptage de la clef est facultatif mais nécessaire pour la plupart des utilisation.

Pour cela, taper simplement la commande suivante:

$ openssl rsa -in newkey.pem -out newkey_decrypt.pem
$ Enter pass phrase for newkey.pem: <secret password pour la clef du certificat>
$ writing RSA key

La clef est maintenant décryptée dans le fichier newkey_decrypt.pem.

 

Mot de la fin

Nous avons maintenant notre certificat signé, sa clef dans sa version cryptée et décrypté.

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s