RSA3
RSA3
RSA3
1. Pour le formateur
• L’apprenant doit être capable de configurer le fichier openssl.cnf
• Il doit être également capable de générer un certificat auto-signé pour le CA et Des
certificats clients
2. Pour l’apprenant
• Il est recommandée de maitriser les notions de base d’une PKI
• Il faut utiliser les commandes fournies au début de l’activité
• Il est également recommandée de suivre les étapes décrites dans l’énoncé
3. Conditions de réalisation :
• VirtualBox installé
• Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2.
• Réalisation des activités précédentes (2 et 3) avec succès.
4. Critères de réussite :
• Configurer avec succès l’outil OpenSSL
• Avoir un certificat auto-signé
• Avoir un certificat client signé par le CA
Activité 4
Génération des certificats avec OpenSSL
• L’objectif principal de cette activité est de mettre en place une plateforme PKI à l’aide d’OpenSSL afin de générer des certificats clients X.509.
default_bits = 1024
default_keyfile = privatekey.pem
countryName_default = MA
stateOrProvinceName_default = MAROC
localityName_default = NEW_CITY
0.organizationName_default = OFPPT
organizationalUnitName_default = SECURITY
2. Générez le certificat auto-signé du CA, en utilisant la clé privée générée précédemment, tel que :
• Le nom du certificat est : ofpptcacert.pem ;
• La validité du certificat est : 4 ans (365joursx4=1460jours) ;
• Le certificat doit être enregistré dans l’emplacement adéquat : /etc/activite/cacerts ;
• Noté que lors de la génération du certificat, vous devez conserver les informations du CA par défaut qui ont été configurés précédemment dans le
PARTIE 3
fichier openssl.cnf.
2. Générez la requête client, en utilisant la clé privée générée précédemment, tel que :
• Le nom du fichier contenant la requête est : ClientArequest.pem ;
• La fichier de la requête doit être enregistrée dans l’emplacement adéquat : /etc/activite/reqs ;
• Noté que lors de la génération de la requête client, vous devez conserver les informations générales mais il faut saisir certains informations du client.
Pour ce faire :
PARTIE 3
• Le nom du client doit être saisi dans le champ Common Name. La valeur attribuée peut être ClientB.
• Le mail du client doit être saisi dans le champ Email Address . La valeur attribuée peut être clientA@gmail.com.
La figure ci-dessous illustre la configuration finale de la section CA [ CA_default ] La figure ci-dessous illustre la configuration finale de la section [req] dans le
dans le fichier openssl.cnf fichier openssl.cnf
PARTIE 3
2. Pour générer le certificat auto-signé du CA, en respectant l’énoncé, il suffit d’exécuter la commande :
sudo openssl req -new -x509 -days 1460 -key private/ofpptcakey.pem -out cacerts/ofpptcacert.pem
PARTIE 3
Le résultat de l’affichage du certificat du CA en exécutant la commande Le résultat de l’affichage du certificat du CA en mode graphique
cat cacerts/ofpptcacert.pem
PARTIE 3
4. Pour vérifier la validité du certificat généré, il suffit d’exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientAcertificate.pem
Le résultat de l’affichage du certificat du client A en exécutant la commande : Le résultat de l’affichage du certificat du Client A en mode graphique
cat certs/ClientAcertificate.pem
PARTIE 3
10. Pour vérifier la validité du certificat généré, il suffit d’exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientBcertificate.pem
Le résultat de l’affichage du certificat du client B en exécutant la commande : Le résultat de l’affichage du certificat du Client B en mode graphique
cat certs/ClientBcertificate.pem
PARTIE 3