Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:crypto:creer_ca [2018/08/22 23:16] – beu
+++ kb:crypto:creer_ca [2021/03/30 14:01] (Version actuelle) – beu
@@ Ligne 1: / Ligne 1: @@
 ======Créer sa CA et signer ses certificats======
+==== Création de la CA ====
 Pour cela, on va se rendre dans un dossier isolé :
@@ Ligne 11: / Ligne 13: @@
 <code bash>
 # mkdir certs crl newcerts private csr
+</code><code bash>
 # chmod 700 private
 </code>
@@ Ligne 18: / Ligne 21: @@
 <code bash>
 # touch index.txt
+</code><code bash>
 # echo 1000 > serial
+</code><code bash>
+# echo 0000 > crlnumber
 </code>
 puis on créer le fichier :
-<code openssl openssf.cfg>
+<code openssl openssl.cnf>
 [ ca ]
 # `man ca`
@@ Ligne 30: / Ligne 37: @@
 [ CA_default ]
 # Directory and file locations.
-dir               = /root/ca
+dir               = .
 certs             = $dir/certs
 crl_dir           = $dir/crl
@@ Ligne 39: / Ligne 46: @@
 # The root key and root certificate.
-private_key       = $dir/private/ca.key.pem
+private_key       = $dir/private/ca.key
-certificate       = $dir/certs/ca.cert.pem
+certificate       = $dir/certs/ca.pem
 # For certificate revocation lists.
 crlnumber         = $dir/crlnumber
-crl               = $dir/crl/ca.crl.pem
+crl               = $dir/crl/ca.crl
 crl_extensions    = crl_ext
 default_crl_days  = 30
@@ Ligne 81: / Ligne 88: @@
 countryName_default             = FR
-stateOrProvinceName_default     = Deux-Sèvres
+stateOrProvinceName_default     =
-localityName_default            = Niort
+localityName_default            =
 .organizationName_default      = VirtIT
 #organizationalUnitName_default =
-emailAddress_default           = contact@virtit.fr
+emailAddress_default           =
 [ v3_ca ]
@@ Ligne 125: / Ligne 132: @@
 keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
 extendedKeyUsage = clientAuth, emailProtection
+[ crl_ext ]
+authorityKeyIdentifier = keyid:always
+issuerAltName = issuer:copy
 </code>
@@ Ligne 130: / Ligne 142: @@
 <code bash>
-# openssl genrsa -out private/ca.key.pem 4096
+# openssl genrsa -out private/ca.key 4096
 </code>
@@ Ligne 137: / Ligne 149: @@
 <code bash>
 # openssl req -config openssl.cnf \
-      -key private/ca.key.pem \
+      -key private/ca.key \
       -new -x509 -days 7300 -extensions v3_ca \
-      -out certs/ca.cert.pem
+      -out certs/ca.pem
 </code>
-On créer ensuite la clé privée du certificat :
+==== Création d'un certificat ====
+If faut d’abord créer la clé privée du certificat :
 <code bash>
-# openssl genrsa -out private/server.key.pem 4096
+# openssl genrsa -out private/server.key 4096
 </code>
@@ Ligne 151: / Ligne 166: @@
 <code bash>
-# openssl req -key private/server.key.pem -new -out csr/server.csr.pem
+# openssl req -config openssl.cnf -key private/server.key -new -out csr/server.csr
 </code>
@@ Ligne 157: / Ligne 172: @@
 <code bash>
-# openssl ca -config openssl.cnf -extensions server_cert -days 375 -notext -in csr/server.csr.pem -out certs/server.cert.pem
+# openssl ca -config openssl.cnf -extensions server_cert -days 375 -notext -in csr/server.csr -out certs/server.pem
 </code>
+==== Révoquer un certificat ====
+On va donc révoquer le certificat :
+<code bash>
+# openssl ca -config openssl.cnf -revoke certs/server.pem
+</code>
+puis pour garder un peu de clarté, on va le déplacer dans le dossier crl :
+<code bash>
+# mv certs/server.pem crl/
+</code>
+Et puis on génère le fichier CRL:
+<code bash>
+# openssl ca -config openssl.cnf -gencrl -out crl/ca-crl.pem
+</code>