La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

TP de mise en oeuvre d’une PKI avec Openssl

Publié parMarjolaine Lapierre Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "TP de mise en oeuvre d’une PKI avec Openssl"— Transcription de la présentation:

1 TP de mise en oeuvre d’une PKI avec Openssl

2 But du TP Créer une infrastrucure à clefs publiques
(PKI) permettant de générer des certificats serveur et client Nous allons de plus créer une autorité fille intermédiaire qui signera tout les certificats et pourra être remplacé si un pirate vole sa clef privée, car l’autorité racine sera, elle, en sureté.

3 Schéma On commence par créer un certificat racine On créé ensuite une
CA Root Clef pub: On commence par créer un certificat racine On créé ensuite une autorité fille Signée par la CA Autosigné CA Root CAssl Clef pub: CA Root

4 Schéma On créé ensuite une demande
CA Root Clef pub: On créé ensuite une demande certificat serveur On refait les mêmes opérations pour le certificat client Que l’on va signer avec l’autorité fille CA Root CAssl Clef pub: Cert Server Clef pub: Cert Client Clef pub: CA Root CAssl CAssl

5 Création du fichier openssl.cnf
Sur le site: Aller dans les annexes et copier le contenu du fichier openssl.cnf Coller ce contenu dans un fichier openssl.cnf que vous pouvez créer n’importe où Vous pouvez changer les valeurs de [ req_distinguished_name ] dans ce fichier

6 Création des répertoires
Créez un répertoire pour votre PKI, par exemple: # mkdir /tp_pki Copiez openssl.cnf dans ce répertoire Allez dans ce répertoire

7 Création des répertoires (2)
Créez les répertoires et fichiers nécessaires au bon fonctionnement On crée les fichiers et répertoires nécessaires : $ mkdir -p ca/newcerts # Répertoire recueillant les certificats # émis par CA ROOT $ touch ca/index.txt # Base de données des certificats émis $ echo '01' > ca/serial # Numéro de série, initialisé à 1. # Incrémenté par la suite $ mkdir -p cassl/newcerts #idem, pour CA SSL $ touch cassl/index.txt $ echo '01' > cassl/serial

8 Création du certificat CA
On crée un couple de clefs (publique/privée) $ openssl genrsa -out ca/ca.key -des3 2048 On crée ensuite un certificat qui va être signé (validé) par lui-même, car il est le certificat racine # openssl req -new -x509 -key ca/ca.key -out ca/ca.pem -config ./openssl.cnf -extensions CA_ROOT Vous devriez donc avoir ce certificat autosigné dans le répertoire ca, nommé ca.pem

9 Vérification du certificat CA
Le certificat est au format .pem et n’est donc pas directement lisible sous unix. Pour cela, il y a une commande openssl : $ openssl x509 -in ca/ca.pem -text -noout

10 Création du certificat CAssl (fille)
On crée un couple de clefs (publique/privée) $ openssl genrsa -out cassl/cassl.key -des3 2048 On crée ensuite un certificat non signé (.crs certificate signing request) ATTENTION de bien utiliser les mêmes valeurs de pays, ville, etc. Seuls les name et changent # openssl req -new -key cassl/cassl.key -out cassl/cassl.crs -config ./openssl.cnf Et on le signe avec la clef privée de l’autorité, la CA. # openssl ca -out cassl/cassl.pem -config ./openssl.cnf -extensions CA_SSL -infiles cassl/cassl.crs

11 Création du certificat CAssl (fille)
Il en ressort un beau certificat signé cassl.pem a vérifier !!! $ openssl x509 -in cassl/cassl.pem -text -noout Le fichier cassl.pem a été créé car on l’a explicitement demandé -out cassl/cassl.pem Sinon, un fichier identique a été créé dans ca/newcerts/01.pem

12 Création du certificat serveur
On crée un couple de clefs (publique/privée) # openssl genrsa -out cassl/serverssl.key -des3 1024 On crée ensuite un certificat non signé # openssl req -new -key cassl/serverssl.key -out cassl/serverssl.crs -config ./openssl.cnf Que l’on signe avec l’autorité fille (cassl.pem) # openssl ca -out cassl/serverssl.pem -name CA_ssl_default -config ./openssl.cnf -extensions SERVER_RSA_SSL -infiles cassl/serverssl.crs Attention, j’ai ajouté ici -out cassl/serverssl.pem pour créer explicitement le certificat serverssl.pem qui est en fait une copie de cassl/newcerts/01.pem

13 Création du certificat client
On crée un couple de clefs (publique/privée) # openssl genrsa -out cassl/serverssl.key -des3 1024 On refait les même commandes que pour le certificat serveur, en remplaçant par “client” # openssl req -new -key cassl/clientssl.key -out cassl/clientssl.crs -config ./openssl.cnf # openssl ca -out cassl/clientssl.pem -name CA_ssl_default -config ./openssl.cnf -extensions CLIENT_RSA_SSL -infiles cassl/clientssl.crs

14 Exportation du certificat client
On transforme le .pem en .p12 qui est un format exécutable sous windows ou linux pour mettre en place facilement le certificat $ openssl pkcs12 -export -inkey cassl/clientssl.key -in cassl/clientssl.pem -out clientssl.p12 -name "Certificat client" Et hop ! vous pouvez maintenant en créer autant que vous voulez en réitérant cette démarche, avec les bonnes options Vous pouvez aussi créer un script qui automatise toute cette démarche

Télécharger ppt "TP de mise en oeuvre d’une PKI avec Openssl"

Présentations similaires

Réalisé par Frédéric TRAN

Réalisé par Frédéric TRAN
Encadrer par : A. Azzati Préparer par : Z. Lhadi H. Arache Cmpilation du noyau Linux.

Encadrer par : A. Azzati Préparer par : Z. Lhadi H. Arache Cmpilation du noyau Linux.
Agenda Les Share Add-in Le Ruban dOffice 12 DémonstrationRibbonX Programmer le Ruban dOffice 12 DémonstrationCustomTaskPaneDémonstrationDéploiement.

Agenda Les Share Add-in Le Ruban dOffice "12" DémonstrationRibbonX Programmer le Ruban dOffice "12" DémonstrationCustomTaskPaneDémonstrationDéploiement.
La sécurité dans Sharepoint

La sécurité dans Sharepoint
ASP.NET v2 + Ajax = Atlas Pierre Lagarde DevDays 2006 Equipé aujourdhui, prêt pour demain !

ASP.NET v2 + Ajax = Atlas Pierre Lagarde DevDays 2006 Equipé aujourdhui, prêt pour demain !
Authentification Interne Authentification de base proposée par uPortal L'identifiant et le mot de passe sont stockés dans la base de données interne du.

Authentification Interne Authentification de base proposée par uPortal L'identifiant et le mot de passe sont stockés dans la base de données interne du.
Cours de NETSILON Réalisé par: Hitcho introduction Netsilon est un logiciel qui permet de concevoir une application web avec PHP.

Cours de NETSILON Réalisé par: Hitcho introduction Netsilon est un logiciel qui permet de concevoir une application web avec PHP.
interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.

interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.
Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay.

Point sur le DataGRID à Saclay – Mai 2001 D. Calvet, Z. Georgette, M. Huet, J-P. Le Fèvre, I. Mandjavidze, P. Micout, B. Thooris DAPNIA/SEI, CEA Saclay.
Certificats Globus et DataGrid France

Certificats Globus et DataGrid France
TP sur le filtrage avec iptables

TP sur le filtrage avec iptables
Introduction à RRDTool

Introduction à RRDTool
Cours n°1 Présenté par : Aurélien Baillard Aboubacar Camara Sébastien Simon Jeremy Landre Brown Ebiémi.

Cours n°1 Présenté par : Aurélien Baillard Aboubacar Camara Sébastien Simon Jeremy Landre Brown Ebiémi.
Classer, archiver, traiter son courrier électronique Listes des dossiers crées.

Classer, archiver, traiter son courrier électronique Listes des dossiers crées.
Windows XP Professionnel

Windows XP Professionnel
Windows XP Professionnel

Windows XP Professionnel
Abes agence bibliographique de lenseignement supérieur 2013-2014 Construire des liens.

Abes agence bibliographique de lenseignement supérieur Construire des liens.
Lexplorer de Windows XP. Lexploreur de Windows Mes disques = Tiroirs ? Lexplorer de Windows Mais, où ai-je rangé ce (fichu) fichier ? Mais quand ai-je.

Lexplorer de Windows XP. Lexploreur de Windows Mes disques = Tiroirs ? Lexplorer de Windows Mais, où ai-je rangé ce (fichu) fichier ? Mais quand ai-je.
 Pour jouer sur BBO, allez sur le site : http://www.bridgebase.com.

 Pour jouer sur BBO, allez sur le site :
Le Blog du Club ou Où trouver tout ce que vous vous demandez !

Le Blog du Club ou Où trouver tout ce que vous vous demandez !

Présentations similaires

Annonces Google