kb:crypto:creer_ca
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| kb:crypto:creer_ca [2019/01/29 22:11] – beu | kb:crypto:creer_ca [2021/03/30 14:01] (Version actuelle) – beu | ||
|---|---|---|---|
| Ligne 13: | Ligne 13: | ||
| <code bash> | <code bash> | ||
| # mkdir certs crl newcerts private csr | # mkdir certs crl newcerts private csr | ||
| + | </ | ||
| # chmod 700 private | # chmod 700 private | ||
| </ | </ | ||
| Ligne 20: | Ligne 21: | ||
| <code bash> | <code bash> | ||
| # touch index.txt | # touch index.txt | ||
| + | </ | ||
| # echo 1000 > serial | # echo 1000 > serial | ||
| + | </ | ||
| + | # echo 0000 > crlnumber | ||
| </ | </ | ||
| + | |||
| puis on créer le fichier : | puis on créer le fichier : | ||
| - | <code openssl | + | <code openssl |
| [ ca ] | [ ca ] | ||
| # `man ca` | # `man ca` | ||
| Ligne 41: | Ligne 46: | ||
| # The root key and root certificate. | # The root key and root certificate. | ||
| - | private_key | + | private_key |
| - | certificate | + | certificate |
| # For certificate revocation lists. | # For certificate revocation lists. | ||
| crlnumber | crlnumber | ||
| - | crl = $dir/ | + | crl = $dir/ |
| crl_extensions | crl_extensions | ||
| default_crl_days | default_crl_days | ||
| Ligne 83: | Ligne 88: | ||
| countryName_default | countryName_default | ||
| - | stateOrProvinceName_default | + | stateOrProvinceName_default |
| - | localityName_default | + | localityName_default |
| 0.organizationName_default | 0.organizationName_default | ||
| # | # | ||
| - | emailAddress_default | + | emailAddress_default |
| [ v3_ca ] | [ v3_ca ] | ||
| Ligne 127: | Ligne 132: | ||
| keyUsage = critical, nonRepudiation, | keyUsage = critical, nonRepudiation, | ||
| extendedKeyUsage = clientAuth, emailProtection | extendedKeyUsage = clientAuth, emailProtection | ||
| + | |||
| + | [ crl_ext ] | ||
| + | authorityKeyIdentifier = keyid: | ||
| + | issuerAltName = issuer:copy | ||
| + | |||
| </ | </ | ||
| Ligne 132: | Ligne 142: | ||
| <code bash> | <code bash> | ||
| - | # openssl genrsa -out private/ | + | # openssl genrsa -out private/ |
| </ | </ | ||
| Ligne 139: | Ligne 149: | ||
| <code bash> | <code bash> | ||
| # openssl req -config openssl.cnf \ | # openssl req -config openssl.cnf \ | ||
| - | -key private/ | + | -key private/ |
| -new -x509 -days 7300 -extensions v3_ca \ | -new -x509 -days 7300 -extensions v3_ca \ | ||
| - | -out certs/ca.cert.pem | + | -out certs/ |
| </ | </ | ||
| Ligne 150: | Ligne 160: | ||
| <code bash> | <code bash> | ||
| - | # openssl genrsa -out private/ | + | # openssl genrsa -out private/ |
| </ | </ | ||
| Ligne 156: | Ligne 166: | ||
| <code bash> | <code bash> | ||
| - | # openssl req -key private/ | + | # openssl req -config openssl.cnf |
| </ | </ | ||
| Ligne 162: | Ligne 172: | ||
| <code bash> | <code bash> | ||
| - | # openssl ca -config openssl.cnf -extensions server_cert -days 375 -notext -in csr/ | + | # openssl ca -config openssl.cnf -extensions server_cert -days 375 -notext -in csr/ |
| </ | </ | ||
| + | |||
| + | ==== Révoquer un certificat ==== | ||
| + | |||
| + | On va donc révoquer le certificat : | ||
| + | |||
| + | <code bash> | ||
| + | # openssl ca -config openssl.cnf -revoke certs/ | ||
| + | </ | ||
| + | |||
| + | puis pour garder un peu de clarté, on va le déplacer dans le dossier crl : | ||
| + | |||
| + | <code bash> | ||
| + | # mv certs/ | ||
| + | </ | ||
| + | |||
| + | Et puis on génère le fichier CRL: | ||
| + | |||
| + | <code bash> | ||
| + | # openssl ca -config openssl.cnf -gencrl -out crl/ | ||
| + | </ | ||
| + | |||
kb/crypto/creer_ca.1548799872.txt.gz · Dernière modification : de beu