TP de mise en oeuvre d’une PKI avec Openssl

Slides:



Advertisements
Présentations similaires
Réalisé par Frédéric TRAN
Advertisements

Encadrer par : A. Azzati Préparer par : Z. Lhadi H. Arache Cmpilation du noyau Linux.
Agenda Les Share Add-in Le Ruban dOffice "12" DémonstrationRibbonX Programmer le Ruban dOffice "12" DémonstrationCustomTaskPaneDémonstrationDéploiement.
La sécurité dans Sharepoint
ASP.NET v2 + Ajax = Atlas Pierre Lagarde DevDays 2006 Equipé aujourdhui, prêt pour demain !
Authentification Interne Authentification de base proposée par uPortal L'identifiant et le mot de passe sont stockés dans la base de données interne du.
Cours de NETSILON Réalisé par: Hitcho introduction Netsilon est un logiciel qui permet de concevoir une application web avec PHP.
interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.
Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay.
Certificats Globus et DataGrid France
TP sur le filtrage avec iptables
Introduction à RRDTool
Cours n°1 Présenté par : Aurélien Baillard Aboubacar Camara Sébastien Simon Jeremy Landre Brown Ebiémi.
Classer, archiver, traiter son courrier électronique Listes des dossiers crées.
Windows XP Professionnel
Windows XP Professionnel
Abes agence bibliographique de lenseignement supérieur Construire des liens.
Lexplorer de Windows XP. Lexploreur de Windows Mes disques = Tiroirs ? Lexplorer de Windows Mais, où ai-je rangé ce (fichu) fichier ? Mais quand ai-je.
 Pour jouer sur BBO, allez sur le site :
Le Blog du Club ou Où trouver tout ce que vous vous demandez !
© 2010 Agence Régionale de Santé 1/13 Messagerie Instantanée Support dauto-formation utilisateur.
Introduction – Le bureau La visualisation des dossiers et des fichiers La gestion des dossiers et des fichiers Création dun nouveau dossier (méthode 1)
Microsoft ® Word 2010 Créer votre premier document Word II SASU - Laurenan - SIRET Créer votre premier document Word II.
High Frequency Trading Introduction. Séminaires de 30 minutes, une fois par semaine (8 en tout) Sujets abordés – Définition dun algorithme et introduction.
Dieu dans sa vie.
Informations Déclaration d’Activité Professionnelle (la D.A.P.)
Navigation de Base dans Google Earth
JDBC: manipuler une base de données en Java IFT6800 – E 2007 Jian-Yun Nie.
REJOIGNEZ LES SITES PRESTASHOP DANS LE MONDE AVEC UN COMMERCE EN LIGNE PERFORMANT ET EFFICACE.
Les entrées /sorties en Java François Bonneville
Cet atelier a été créé par Louise Levasseur pour la Commission Scolaire des Phares 1 Apprendre en samusant… avec PowerPoint XP.
Logistique Le Cross Docking.
Support.ebsco.com Tutoriel Rechercher des livres électroniques sous EBSCOhost.
Bienvenue à lhistorien virtuel 2.0 Par où commencer……………………….2 Par où commencer……………………….2 Comment sinscrire….…………………..4 Comment sinscrire….…………………..4.
INSTALLATION DE EGROUPWARE SOUS WINDOWS SERVER 2003 AVEC EasyPHP
Télécharger des livres électroniques sous EBSCOhost tutoriel
Migration OLSB vers Office 365. Qui suis-je ? Kevin TRELOHAN Membre du club SharePoint et dot net Ouest Membre du Conseil Scientifique et dadministration.
Ville de Saint-Jean-sur-Richelieu
Mise en place dun ebook gratuit sur Edition999 Logiciels nécessaires : Acrobat Pro Photo Filtre Mobipocket Creator Calibre.
Mettre en place une stratégie de veille numérique en adéquation avec un projet professionnel.
Initiation et perfectionnement à lutilisation de la micro-informatique Initiation à Microsoft Word 2008 Troisième partie ©Yves Roger Cornil
Création des pièces d'un puzzle avec Photoshop
1. Démarrage 2. Devises 3. Activités économiques 4. Localisation 5. Périodicités Configuration initiale I Tout ce que vous devez configurer la première.
1 LA PLATE FORME DAPPUI AUX PROFESSIONNELS DE SANTE Une nouvelle approche du site PAPS Michel CHIARA/Elodie AGOPIAN - CCOP - 31/01/2013.
Gestion à distance Les commandes NET.
Opérations sur les ouvrages électriques
AIDE WALLPASS-VNC Note : Les photos décran peuvent différer selon les versions et les systèmes. Vous pouvez quitter ce PPS par la touche « Echap » ou «
Aide au guidage pour logiciel Quartie+
ORGANISER des Journées Scientifiques A LA SFA Organisation via le secrétariat de la SFA : Evelyne Dewayse soccupe du site web la création du formulaire.
Enesys RS Data Extension
Processworks / 3DQuikForm Présentation Denis AUGUSTE Lycée de Lorgues.
La configuration Apache 2.2 Lhébergement virtuel.
Mars 2013 Grégory Petit
Configuration Android
Mise en place d'un serveur SSL
Authentification LDAP
Linux – les VPN.
BBoard Fonctionne pas. BBoard Copier le répertoire dézippé dans le répertoire modules de post nuke Renommer ce répertoire en yabbse. Entrer le chemin.
T.E.R. Yuhei Oshima et Marc Antoine Donvez
Linux – les VPN. Introduction  de plus en plus utilisés  utilisent :  les tunnels  la cryptographie  certificats X509 via une autorité de certification.
Recip-e Ambulant Elektronisch Voorschijfsysteem Prescription électronique ambulatoire 26/01/2012 Recip-e Utilisation de Sabco.
OCSInventory Formation CISCAM 2008.
Gestion à distance Netsh et rcmd.
Sauvegarde entre 2 serveurs GNU/Linux Configuration d’une connexion sécurisée entre les 2 serveurs Sauvegarde entre les deux serveurs Test de la solution.
Unix Raymond Ripp.
Finder => Application => Utilitaires => Terminal Editor:pico Touches –Finder=>Applic.=> Utili. => Touches –~: Alt+N –|: Shift+Alt+N –[: Shift+ Alt+5 –{:
Theme : VPN avec IPSEC et OPENVPN
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Cryptographie – Les couches réseau Apache - TLS/SSL
Transcription de la présentation:

TP de mise en oeuvre d’une PKI avec Openssl

But du TP Créer une infrastrucure à clefs publiques (PKI) permettant de générer des certificats serveur et client Nous allons de plus créer une autorité fille intermédiaire qui signera tout les certificats et pourra être remplacé si un pirate vole sa clef privée, car l’autorité racine sera, elle, en sureté.

Schéma On commence par créer un certificat racine On créé ensuite une CA Root Clef pub: 00110100 11001100 01110101 On commence par créer un certificat racine On créé ensuite une autorité fille Signée par la CA Autosigné CA Root CAssl Clef pub: 00110100 10100100 01110101 CA Root

Schéma On créé ensuite une demande CA Root Clef pub: 00110100 11001100 01110101 On créé ensuite une demande certificat serveur On refait les mêmes opérations pour le certificat client Que l’on va signer avec l’autorité fille CA Root CAssl Clef pub: 00110100 10100100 01110101 Cert Server Clef pub: 00110100 10100100 01110101 Cert Client Clef pub: 00110100 10100100 01110101 CA Root CAssl CAssl

Création du fichier openssl.cnf Sur le site: http://www.hsc.fr/ressources/breves/ssl_configuration.html.fr Aller dans les annexes et copier le contenu du fichier openssl.cnf Coller ce contenu dans un fichier openssl.cnf que vous pouvez créer n’importe où Vous pouvez changer les valeurs de [ req_distinguished_name ] dans ce fichier

Création des répertoires Créez un répertoire pour votre PKI, par exemple: # mkdir /tp_pki Copiez openssl.cnf dans ce répertoire Allez dans ce répertoire

Création des répertoires (2) Créez les répertoires et fichiers nécessaires au bon fonctionnement On crée les fichiers et répertoires nécessaires : $ mkdir -p ca/newcerts # Répertoire recueillant les certificats # émis par CA ROOT $ touch ca/index.txt # Base de données des certificats émis $ echo '01' > ca/serial # Numéro de série, initialisé à 1. # Incrémenté par la suite $ mkdir -p cassl/newcerts #idem, pour CA SSL $ touch cassl/index.txt $ echo '01' > cassl/serial

Création du certificat CA On crée un couple de clefs (publique/privée) $ openssl genrsa -out ca/ca.key -des3 2048 On crée ensuite un certificat qui va être signé (validé) par lui-même, car il est le certificat racine # openssl req -new -x509 -key ca/ca.key -out ca/ca.pem -config ./openssl.cnf -extensions CA_ROOT Vous devriez donc avoir ce certificat autosigné dans le répertoire ca, nommé ca.pem

Vérification du certificat CA Le certificat est au format .pem et n’est donc pas directement lisible sous unix. Pour cela, il y a une commande openssl : $ openssl x509 -in ca/ca.pem -text -noout

Création du certificat CAssl (fille) On crée un couple de clefs (publique/privée) $ openssl genrsa -out cassl/cassl.key -des3 2048 On crée ensuite un certificat non signé (.crs certificate signing request) ATTENTION de bien utiliser les mêmes valeurs de pays, ville, etc. Seuls les name et email changent # openssl req -new -key cassl/cassl.key -out cassl/cassl.crs -config ./openssl.cnf Et on le signe avec la clef privée de l’autorité, la CA. # openssl ca -out cassl/cassl.pem -config ./openssl.cnf -extensions CA_SSL -infiles cassl/cassl.crs

Création du certificat CAssl (fille) Il en ressort un beau certificat signé cassl.pem a vérifier !!! $ openssl x509 -in cassl/cassl.pem -text -noout Le fichier cassl.pem a été créé car on l’a explicitement demandé -out cassl/cassl.pem Sinon, un fichier identique a été créé dans ca/newcerts/01.pem

Création du certificat serveur On crée un couple de clefs (publique/privée) # openssl genrsa -out cassl/serverssl.key -des3 1024 On crée ensuite un certificat non signé # openssl req -new -key cassl/serverssl.key -out cassl/serverssl.crs -config ./openssl.cnf Que l’on signe avec l’autorité fille (cassl.pem) # openssl ca -out cassl/serverssl.pem -name CA_ssl_default -config ./openssl.cnf -extensions SERVER_RSA_SSL -infiles cassl/serverssl.crs Attention, j’ai ajouté ici -out cassl/serverssl.pem pour créer explicitement le certificat serverssl.pem qui est en fait une copie de cassl/newcerts/01.pem

Création du certificat client On crée un couple de clefs (publique/privée) # openssl genrsa -out cassl/serverssl.key -des3 1024 On refait les même commandes que pour le certificat serveur, en remplaçant par “client” # openssl req -new -key cassl/clientssl.key -out cassl/clientssl.crs -config ./openssl.cnf # openssl ca -out cassl/clientssl.pem -name CA_ssl_default -config ./openssl.cnf -extensions CLIENT_RSA_SSL -infiles cassl/clientssl.crs

Exportation du certificat client On transforme le .pem en .p12 qui est un format exécutable sous windows ou linux pour mettre en place facilement le certificat $ openssl pkcs12 -export -inkey cassl/clientssl.key -in cassl/clientssl.pem -out clientssl.p12 -name "Certificat client" Et hop ! vous pouvez maintenant en créer autant que vous voulez en réitérant cette démarche, avec les bonnes options Vous pouvez aussi créer un script qui automatise toute cette démarche

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.