|
OpenSSL VPN Serveurs de messagerie |
OpenSSL/opensslOpenSSL.LigneDeCommande HistoryHide minor edits - Show changes to output Added line 16:
** [[unable to get local issuer certificate|Liste d'autorités de confiance]] Changed line 448 from:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui to:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui générerait une alerte dans un navigateur web\\ Changed lines 33-34 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9. to:
%left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9.8h\apps\openssl.cnf'''@@ Changed line 49 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa - to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -aes256 -out CA_pvk.pem 1024'''@@\\ Changed line 105 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa - to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -aes256 -out client_pvk.pem 1024'''@@\\ Changed line 609 from:
OpenSSL 0.9. to:
OpenSSL 0.9.8h 11 Oct 2005\\ Changed line 19 from:
* [[ to:
* [[OpenSSL/SMIME | S/MIME ]] Changed line 90 from:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent to:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent [[OpenSSL/Openssl-asn1|binaire]] Changed line 187 from:
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ to:
Le numéro de série du certificat est déjà utilisé, vous devrez [[#revocation|révoquer]] le certificat l'utilisant.\\ Changed lines 227-228 from:
!!!Révocation d'un certificat to:
!!!Révocation d'un certificat [[#revocation]] Changed lines 364-367 from:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. Exemple de GET aveugle sur to:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. Ci-dessous, un exemple de GET aveugle sur https://www.google.fr :\\ Changed lines 440-441 from:
to:
\\ Changed lines 444-448 from:
[[#issuercertificate to:
[[#issuercertificate]] %left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui explique l'alerte [[unable to get local issuer certificate|unable to get local issuer certificate]]\\ Changed lines 522-523 from:
Le chiffrement par clef symétrique est aujourd'hui le seul moyen to:
Le chiffrement par clef symétrique est aujourd'hui le seul moyen performant pour la protection des données. [ [[openssl-enc-aes|'''la suite''']] ] Changed line 527 from:
Le but est ici to:
Le but est ici de rendre illisible le contenu d'un fichier par un algorythme à sens unique dont la spécificité est de permettre à tout le monde le chiffrement de ces données tout en ne permettant le déchiffrement qu'au seul destinatataire.\\ January 16, 2009, at 08:46 AM
by - ajout check selg signed
Added lines 344-354:
!!!Le certificat est-il autosigné ? %left bgcolor=#f0f0f0' padding=5px%@@'''openssl verify -CAfile google.crt google.crt'''@@\\ @@google.crt: /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com@@\\ @@error 20 at 0 depth lookup:unable to get local issuer certificate@@ %left bgcolor=#f0f0f0' padding=5px%@@'''openssl verify -CAfile "Verisignroot.cer" "Verisign root.cer"'''@@\\ @@Verisign root.cer: OK@@ Changed lines 2-4 from:
(:description to:
(:description exemples d'utilisations d'openssl :) (:Summary: lignes de commandes openssl:) (:title openssl:) Deleted line 33:
Changed line 196 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@\\ Changed line 209 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"'''@@\\ Changed lines 227-228 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl ca -revoke client_crt.pem'''@@ Changed lines 234-235 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl rsa -in client_pvk.pem -out client_unpvk.pem'''@@ Changed line 241 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''rsa -der -in client_pvk.pem -out client_unpvk.pem'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl rsa -der -in client_pvk.pem -out client_unpvk.pem'''@@\\ Changed line 253 from:
'''x509 -text -noout -in google.crt'''\\ to:
'''openssl x509 -text -noout -in google.crt'''\\ Changed line 305 from:
'''x509 -subject -noout -in google.crt'''\\ to:
'''openssl x509 -subject -noout -in google.crt'''\\ Changed line 312 from:
'''x509 -serial -noout -in google.crt'''\\ to:
'''openssl x509 -serial -noout -in google.crt'''\\ Changed line 318 from:
'''x509 -issuer -noout -in google.crt'''\\ to:
'''openssl x509 -issuer -noout -in google.crt'''\\ Changed line 324 from:
'''x509 -startdate -noout -in google.crt'''\\ to:
'''openssl x509 -startdate -noout -in google.crt'''\\ Changed line 334 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''verify -CAfile CA1_crt.pem client_crt.pem'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl verify -CAfile CA1_crt.pem client_crt.pem'''@@\\ Changed line 340 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem'''@@\\ Changed line 356 from:
'''s_client -connect www.google.fr:443'''\\ to:
'''openssl s_client -connect www.google.fr:443'''\\ Changed line 438 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''rand 15 -base64'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl rand 15 -base64'''@@\\ Changed line 450 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@\\ Changed lines 468-469 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@ Changed lines 472-476 from:
!!! %left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in client_crt.pem -pubkey -noout > client_pub.pem'''@@ to:
!!!Extraction de la clef publique contenue dans le certificat %left bgcolor=#f0f0f0' padding=5px%@@'''openssl x509 -in client_crt.pem -pubkey -noout > client_pub.pem'''@@ Changed line 484 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip'''@@\\ Changed line 494 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in pubcert2.pem -noout -subject'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl x509 -in pubcert2.pem -noout -subject'''@@\\ Changed line 499 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in pubcert2.pem -noout -issuer'''@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl x509 -in pubcert2.pem -noout -issuer'''@@\\ Changed line 518 from:
'''rsa -in client_pvk.pem -inform PEM -text'''\\ to:
'''openssl rsa -in client_pvk.pem -inform PEM -text'''\\ Changed line 541 from:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw'''\\ to:
'''openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw'''\\ Changed line 558 from:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc''' to:
'''openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc''' Changed line 572 from:
'''rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt'''\\ to:
'''openssl rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt'''\\ Changed line 583 from:
to:
'''openssl speed aes-128-cbc rsa1024'''\\ Changed line 619 from:
to:
'''openssl rand -out pass.txt -base64 48'''\\ Changed line 628 from:
to:
'''openssl enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p'''\\ Changed line 638 from:
to:
'''openssl rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc'''\\ Changed line 653 from:
to:
'''openssl rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt'''\\ Changed line 659 from:
to:
'''openssl enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc''' June 17, 2008, at 04:29 PM
by - ajout du format PFX
Added lines 94-95:
Changed lines 208-210 from:
!!!Convertion du certificat to:
!!!Convertion du certificat pour importation sous IIS6 %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"'''@@\\ Added lines 217-218:
Il est à noter pour les utilisateurs sous Windows que le [[http://www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en|Platform SDK Redistributable: CAPICOM]] contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows. Added lines 220-221:
Changed line 18 from:
* [[#FRM | to:
* [[#FRM | Structure binaire des certificats ]] Changed line 667 from:
!!![[#FRM]]{+9. to:
!!![[#FRM]]{+9. Structure binaire des certificats+} Added line 661:
\\ Deleted lines 663-664:
!!![[#FRM]]{+9. Format binaire des certificats+} Deleted line 664:
Added lines 666-667:
!!![[#FRM]]{+9. Format binaire des certificats+} Added line 669:
Un certificat X509 v3 est un fichier binaire dont la structure est définie par la [[http://www.ietf.org/rfc/rfc2459.txt|RFC2459]]... [ [[openssl-asn1|'''la suite''']] ] Added lines 671-672:
\\ \\ Changed line 17 from:
* [[#PKCS7 | Format to:
* [[#PKCS7 | Format S/MIME ]] Added line 17:
* [[#PKCS7 | Format binaire des certificats ]] Changed lines 660-661 from:
!!![[# to:
!!![[#PKCS7]]{+8. Format S/MIME+} c'est par [[http://www.grandville.net/pmwiki.php/OpenSSL/SMIME|ici]] Added lines 663-665:
!!![[#FRM]]{+9. Format binaire des certificats+} \\ Changed line 529 from:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\ Changed line 533 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème to:
Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes. Changed line 550 from:
Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera to:
Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera Changed line 552 from:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc to:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc''' Changed line 606 from:
!!! to:
!!!Exemple de chiffrement d'un fichier Changed lines 608-615 from:
to:
Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires.\\ Après avoir généré les certificats de chaque destinataire, générons une clef symétrique\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48\\ Loading 'screen' into random state - done >><< Added line 617:
Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\ Added lines 619-626:
Chiffrons le fichier archive.rar.\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p\\ salt=F384A365EC854856\\ key=14F7D9F96DC2C17CA02EF065A45A76E0\\ iv =5709622E05C1EE453DBD031975F4A96D >><< Added lines 628-664:
Chiffrons la clef de déchiffrement.\\ \\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc\\ Loading 'screen' into random state - done >><< Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer.\\ La clef de déchiffrement est maintenant irrémédiablement cryptée avec la clef publique du certificat du destinataire (client1_crt.pem).\\ \\ Le destinataire recevra ces fichiers :\\ - archive.rar.enc\\ - pass.client1.enc\\ !!!Procédure de déchiffrement\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt\\ Loading 'screen' into random state - done\\ Enter pass phrase for client1_pvk.pem:↵ >><< >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc >><< Le fichier archive.rar est maintenant lisible.\\ \\ !!![[#FRM]]{+8. Format binaire des certificats+} \\ Un certificat X509 v3 est un fichier binaire dont la structure est définie par la [[http://www.ietf.org/rfc/rfc2459.txt|RFC2459]]... [ [[openssl-asn1|'''la suite''']] ] \\ \\ \\ Added line 17:
* [[#FRM | Format binaire des certificats ]] Changed lines 603-611 from:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.\\ \\ !!![[#FRM]]{+8. Format binaire des certificats+} \\ Un certificat X509 v3 est un fichier binaire dont la structure est définie par la [[http://www.ietf.org/rfc/rfc2459.txt|RFC2459]]... [ [[openssl-asn1|'''la suite''']] ] \\ \\ \\ Changed line 355 from:
--- to:
---\\ Changed lines 361-363 from:
--- Server certificate to:
---\\ Server certificate\\ -----BEGIN CERTIFICATE-----\\ Changed lines 426-428 from:
[[#issuercertificate]] to:
[[#issuercertificate]]Pour en savoir plus sur la correction de l'erreur [[unable to get local issuer certificate|unable to get local issuer certificate]]. Changed line 523 from:
La probabilité qu'une de ces mêmes personnes to:
La probabilité qu'une de ces mêmes personnes gagne à l'euromillion LE MEME JOUR n'est que de 2^46\\ Changed line 532 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc to:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef. Changed line 21 from:
Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ to:
Un setup d'installation d'OpenSSL pour Windows est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ Changed line 46 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out CA_pvk.pem 1024'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out CA_pvk.pem 1024'''@@\\ Changed line 100 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out client_pvk.pem 1024'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out client_pvk.pem 1024'''@@\\ Changed lines 46-48 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out CA_pvk.pem 1024'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out CA_pvk.pem 1024'''@@ @@Loading 'screen' into random state - done@@\\ @@Generating RSA private key, 1024 bit long modulus@@\\ @@...................++++++@@\\ @@...++++++@@\\ @@e is 65537 (0x10001)@@\\ @@Enter pass phrase for CA_pvk.pem:''mot de passe''↵@@\\ @@Verifying - Enter pass phrase for CA_pvk.pem:''mot de passe''↵@@\\ Changed lines 60-61 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@\\ @@Enter pass phrase for CA_pvk.pem:@@\\ @@You are about to be asked to enter information that will be incorporated@@\\ @@into your certificate request.@@\\ @@What you are about to enter is what is called a Distinguished Name or a DN.@@\\ @@There are quite a few fields but you can leave some blank@@\\ @@For some fields there will be a default value,@@\\ @@If you enter '.', the field will be left blank.@@\\ @@-----@@\\ @@Country Name (2 letter code) [AU]:↵@@\\ @@State or Province Name (full name) [Some-State]:↵@@\\ @@Locality Name (eg, city) []:↵@@\\ @@Organization Name (eg, company) [Internet Widgits Pty Ltd]:↵@@\\ @@Organizational Unit Name (eg, section) []:↵@@\\ @@Common Name (eg, YOUR name) []:↵@@\\ @@Email Address []:↵@@\\ Changed lines 85-86 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in CA_crt.pem -outform DER -out CA_crt.der'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl x509 -in CA_crt.pem -outform DER -out CA_crt.der'''@@ Changed lines 100-101 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out client_pvk.pem 1024'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl genrsa -des3 -out client_pvk.pem 1024'''@@ @@Loading 'screen' into random state - done@@\\ @@Generating RSA private key, 1024 bit long modulus@@\\ @@....++++++@@\\ @@...........................................................++++++@@\\ @@e is 65537 (0x10001)@@\\ @@Enter pass phrase for client_pvk.pem:↵@@\\ @@Verifying - Enter pass phrase for client_pvk.pem:↵@@ Changed lines 112-114 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''req -new -key client_pvk.pem -out client_csr.pem'''@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''openssl req -new -key client_pvk.pem -out client_csr.pem'''@@\\ @@Enter pass phrase for client_pvk.pem:↵@@\\ @@You are about to be asked to enter information that will be incorporated@@\\ @@into your certificate request.@@\\ @@What you are about to enter is what is called a Distinguished Name or a DN.@@\\ @@There are quite a few fields but you can leave some blank@@\\ @@For some fields there will be a default value,@@\\ @@If you enter '.', the field will be left blank.@@\\ @@-----@@\\ @@Country Name (2 letter code) [AU]:↵@@\\ @@State or Province Name (full name) [Some-State]:↵@@\\ @@Locality Name (eg, city) []:↵@@\\ @@Organization Name (eg, company) [Internet Widgits Pty Ltd]:↵@@\\ @@Organizational Unit Name (eg, section) []:↵@@\\ @@Common Name (eg, YOUR name) []:↵@@\\ @@Email Address []:↵@@\\ @@ @@\\ @@Please enter the following 'extra' attributes@@\\ @@to be sent with your certificate request@@\\ @@A challenge password []:↵@@\\ @@An optional company name []:↵@@\\ Changed lines 140-141 from:
to:
>>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''openssl ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem'''\\ Using configuration from D:\dev\openssl-0.9.8e\apps\openssl.cnf\\ Loading 'screen' into random state - done\\ Enter pass phrase for CA_pvk.pem:↵\\ Check that the request matches the signature\\ Signature ok\\ Certificate Details:\\ Serial Number: 286 (0x11e) Validity Not Before: Aug 26 14:56:09 2007 GMT Not After : Aug 25 14:56:09 2008 GMT Subject: countryName = FR stateOrProvinceName = Some-State organizationName = Internet Widgits Pty Ltd commonName = TEST X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 26:A6:C6:16:CF:2A:5B:D5:9D:FF:2C:48:60:B6:E0:E3:A6:3B:28:88 X509v3 Authority Key Identifier: keyid:68:0D:3F:8A:D3:D7:11:35:EA:AC:C3:28:6C:78:92:04:36:EA:A3:2F Certificate is to be certified until Aug 25 14:56:09 2008 GMT (365 days)\\ Sign the certificate? [y/n]:y↵\\ 1 out of 1 certificate requests certified, commit? [y/n]y↵\\ Write out database with 1 new entries\\ Data Base Updated >><< Changed lines 253-254 from:
to:
\\ Added line 256:
Added lines 342-347:
!!!Génération d'un mot de passe aléatoire %left bgcolor=#f0f0f0' padding=5px%@@'''rand 15 -base64'''@@\\ @@Loading 'screen' into random state - done@@\\ @@6TMCLEgKG4JFot/XFETj@@ Added lines 38-40:
\\ Changed lines 43-45 from:
to:
!!!Création de la clef privée de la CA Changed lines 49-52 from:
to:
!!!Autogénération du certificat de la nouvelle autorité racine Changed lines 68-69 from:
!!![[#CERT]]{+2. Création d'un certificat+} to:
!!![[#CERT]]{+2. Création d'un certificat client+} \\ Added line 85:
Changed lines 7-10 from:
\\ Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ to:
Changed line 9 from:
!! [[#contents]] Table to:
!! [[#contents]] Table des matières Added line 21:
Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ Changed lines 23-25 from:
to:
\\ \\ Deleted lines 5-6:
Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ Deleted lines 6-10:
Ce fichier adapté à vos besoins devra être pointé par la variable d'environnement OPENSSL_CONF. %left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf'''@@ Deleted line 7:
Added lines 9-21:
Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ >>rframe font-size:normal<< !! [[#contents]] Table of Contents * [[#CA | Création d'une autorité racine]] * [[#CERT | Création d'un certificat]] * [[#UTI | Commandes utiles]] * [[#DIV | Divers ]] ** [[#SIG| Signature de fichiers]] ** [[#SYM| Chiffrement par clef symétrique]] ** [[#ASY| Chiffrement par clef asymétrique]] >><< Changed lines 24-25 from:
to:
\\ Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.\\ Ce fichier adapté à vos besoins devra être pointé par la variable d'environnement OPENSSL_CONF. %left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf'''@@ \\ Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\ \\ \\ \\ !!![[#CA]]{+1. Création d'une autorité racine (''Certificat Autority'')+} Changed lines 64-65 from:
!!!{+2. Création d'un certificat+} to:
!!![[#CERT]]{+2. Création d'un certificat+} Changed lines 121-123 from:
!!!{+3. Commandes utiles+} to:
!!![[#UTI]]{+3. Commandes utiles+} Changed lines 245-246 from:
!!!{+4. Divers+} to:
!!![[#DIV]]{+4. Divers+} Changed lines 335-336 from:
!!!{+5. Signature de fichiers+} to:
!!![[#SIG]]{+5. Signature de fichiers+} \\ Changed line 397 from:
!!!{+6. Chiffrement par clef symétrique+} to:
!!![[#SYM]]{+6. Chiffrement par clef symétrique+} Changed lines 400-402 from:
!!!{+7. Chiffrement par clef asymétrique+} Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ to:
!!![[#ASY]]{+7. Chiffrement par clef asymétrique+} Added lines 402-404:
Le but est ici d'obtenir un chiffrement (ou cryptage) avec un certificat. Le fichier chiffré ne pourra être décodé qu'avec la clef privée du certificat utilisé pour le chiffrement.\\ \\ Changed line 1 from:
(:keywords openssl, enc, aes, chiffrement, symétrique, certificats, windows :) to:
(:keywords openssl, windows, compilation, installation, setup, enc, aes, chiffrement, symétrique, certificats, windows :) Changed lines 1-3 from:
(:keywords openssl, enc, aes, chiffrement, symétrique to:
(:keywords openssl, enc, aes, chiffrement, symétrique, certificats, windows :) (:description Procédures de génération de certificats et cas utilisation d'OpenSSL :) Changed lines 5-9 from:
%left bgcolor=#f0f0f0' padding=5px%@@ le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL pour gérer les certificats to:
Un setup d'installation est disponible [[http://www.grandville.net/pmwiki.php/OpenSSL/Installation|ici]].\\ Added lines 7-11:
Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.\\ Ce fichier adapté à vos besoins devra être pointé par la variable d'environnement OPENSSL_CONF. %left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf'''@@ Changed line 13 from:
to:
Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\ Changed lines 16-17 from:
to:
\\ Changed line 31 from:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la to:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la signature des certificats des clients.\\ Changed line 40 from:
Il s'agit d'une simple convertion d'un format Base64 en son équivalent binaire to:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire Changed line 229 from:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS to:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. \\ Changed lines 479-488 from:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Changed line 1 from:
(:keywords openssl, to:
(:keywords openssl, enc, aes, chiffrement, symétrique :) Changed lines 375-376 from:
!!!{+6. Chiffrement par clef asymétrique+} to:
!!!{+6. Chiffrement par clef symétrique+} Le chiffrement par clef symétrique est aujourd'hui le seul moyen efficace protéger les données. [ [[openssl-enc-aes|'''la suite''']] ] !!!{+7. Chiffrement par clef asymétrique+} Changed lines 445-447 from:
to:
!!!Utilisation du chiffrement asymétrique Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est cette clef symétrique protégée par le chiffrement asymétrique qui est envoyée avec les données sécurisées au destinataire. Cette méthode accélére grandement le processus de chiffrage car ce travail sur les clefs asymétriques est environ 500 fois plus couteux que le même travail sur des clefs symétriques.\\ Changed lines 307-308 from:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée to:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat utilisé par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui provoque une alerte alors de l'accès à l'URL https://www.google.fr avec un navigateur. Changed lines 132-178 from:
Certificate: \\ \\ to:
Certificate: Data: Version: 3 (0x2) Serial Number: 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43 Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA Validity Not Before: May 15 23:18:11 2006 GMT Not After : May 15 23:18:11 2007 GMT Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46: be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9: 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56: e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba: e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c: f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2: 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94: 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3: 8d:fe:54:a8:fe:d3:97:8f:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto X509v3 CRL Distribution Points: URI:http://crl.thawte.com/ThawteSGCCA.crl Authority Information Access: OCSP - URI:http://ocsp.thawte.com CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt X509v3 Basic Constraints: critical CA:FALSE Signature Algorithm: md5WithRSAEncryption 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b: 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af: 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24: c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b: 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00: c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03: bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59: 68:81 Added line 230:
Changed lines 238-246 from:
--- Certificate chain Server certificate to:
--- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority --- Server certificate -----BEGIN CERTIFICATE----- Changed lines 276-285 from:
SSL-Session: to:
SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: D596685E782544409A2AAA0209CB1DC93C9136FA7BD704E9F6E2CF9034F5ED3A Session-ID-ctx: Master-Key: DD3B0CDF8BCC32ECFB9AF7B97AB46CCF2D731E929B0048444D62EA45486774E74F23FF950F3BBBE0992AFED425413FBA Key-Arg : None Start Time: 1169126487 Timeout : 300 (sec) Verify return code: 20 ([[unable to get local issuer certificate|unable to get local issuer certificate]]) Changed lines 132-178 from:
Certificate: to:
Certificate:\\ Data:\\ Version: 3 (0x2)\\ Serial Number:\\ 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43\\ Signature Algorithm: md5WithRSAEncryption\\ Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA\\ Validity\\ Not Before: May 15 23:18:11 2006 GMT\\ Not After : May 15 23:18:11 2007 GMT\\ Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com\\ Subject Public Key Info:\\ Public Key Algorithm: rsaEncryption\\ RSA Public Key: (1024 bit)\\ Modulus (1024 bit):\\ 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46:\\ be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9:\\ 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56:\\ e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba:\\ e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c:\\ f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2:\\ 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94:\\ 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3:\\ 8d:fe:54:a8:fe:d3:97:8f:cb\\ Exponent: 65537 (0x10001)\\ X509v3 extensions:\\ X509v3 Extended Key Usage:\\ TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto\\ X509v3 CRL Distribution Points:\\ URI:http://crl.thawte.com/ThawteSGCCA.crl\\ \\ Authority Information Access:\\ OCSP - URI:http://ocsp.thawte.com\\ CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt\\ \\ X509v3 Basic Constraints: critical\\ CA:FALSE\\ Signature Algorithm: md5WithRSAEncryption\\ 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b:\\ 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af:\\ 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24:\\ c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b:\\ 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00:\\ c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03:\\ bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59:\\ 68:81\\ Changed lines 2-6 from:
%right% [[http://www.google.com/translate?u=http to:
%right% [[http://www.google.com/translate?u=http://www.grandville.net/pmwiki.php/{$FullName}&langpair=fr%7Cen&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/GB.gif]] [[http://www.google.com/translate?u=http://www.grandville.net/pmwiki.php/{$FullName}&langpair=fr%7Cde&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/D.gif]] Changed line 1 from:
(:keywords openssl, windows, x509, PEM, certificat:) to:
(:keywords openssl, windows, x509, PEM, certificat,IIS :) Added lines 76-86:
!!!Convertion de la clef privée au format pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@\\ @@Enter pass phrase for client_pvk.pem:@@\\ @@writing RSA key@@\\ @@Enter Private Key password:@@\\ @@Verifying - Enter Private Key password:@@ La transformation au format binaire de la clef privée est nécessaire pour l'insérer dans le gestionnaire de clefs de IIS.\\ Il reste à supprimer l'entête du certificat client (client_crt.pem ) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. Added lines 88-96:
!!!Convertion du certificat PEM en X509 pour Microsoft %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.p12 -name "Mon certificat SSL personnel"'''@@\\ @@Loading 'screen' into random state - done@@\\ @@Enter pass phrase for client_pvk.pem:@@\\ @@Enter Export Password:@@\\ @@Verifying - Enter Export Password:@@ Changed lines 98-99 from:
to:
\\ Changed lines 109-116 from:
!!! Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. to:
!!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ Deleted lines 115-128:
%left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ \\ !!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ \\ Changed lines 467-476 from:
to:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Added lines 1-5:
%right% [[http://www.google.com/translate?u=http%3A%2F%2Fwww.grandville.net%2Fpmwiki.php%3Fn%3D{$FullName}&langpair=fr%7Cen&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/GB.gif]] [[http://www.google.com/translate?u=http%3A%2F%2Fwww.grandville.net%2Fpmwiki.php%3Fn%3D{$FullName}&langpair=fr%7Cde&hl=fr&ie=UTF8|http://www.grandville.net/pub/img/D.gif]] Changed lines 451-455 from:
available timing options: TIMEB HZ=1000\\ timing function used: ftime The type aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k to:
available timing options: TIMEB HZ=1000\\ timing function used: ftime The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k Changed line 458 from:
rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 to:
rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 Changed line 386 from:
Remarquons au passage que les dernières estimations de l' to:
Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\ Changed line 389 from:
Rappellons que to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ Changed lines 431-439 from:
to:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques.\\ Voici un test de performance :\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< OpenSSL> '''speed aes-128-cbc rsa1024'''\\ To get the most accurate results, try to run this\\ program when this computer is idle.\\ First we calculate the approximate speed ...\\ Doing aes-128 cbc 20971520 times on 16 size blocks: 20971520 aes-128 cbc's in 7.01s\\ Doing aes-128 cbc 5242880 times on 64 size blocks: 5242880 aes-128 cbc's in 6.96s\\ Doing aes-128 cbc 1310720 times on 256 size blocks: 1310720 aes-128 cbc's in 6.86s\\ Doing aes-128 cbc 327680 times on 1024 size blocks: 327680 aes-128 cbc's in 6.82s\\ Doing aes-128 cbc 40960 times on 8192 size blocks: 40960 aes-128 cbc's in 6.93s\\ Doing 1310 1024 bit private rsa's: 1310 1024 bit private RSA's in 14.96s\\ Doing 13107 1024 bit public rsa's: 13107 1024 bit public RSA's in 7.13s\\ OpenSSL 0.9.8a 11 Oct 2005\\ built on: Fri Feb 3 15:41:35 2006\\ options:bn(64,32) md2(int) rc4(idx,int) des(idx,cisc,4,long) aes(partial) idea(int) blowfish(idx)\\ compiler: cl /MD /Ox /O2 /Ob2 /W3 /WX /Gs0 /GF /Gy /nologo -DOPENSSL_SYSNAME_WIN32 -DWIN32_LEAN_AND_MEAN -DL_ENDIAN -DDSO_WIN32 -D_CRT_SECURE_NO_DEPRECATE -DOPENSSL_USE_APPLINK -I. /Fdout32dll -DOPENSSL_NO_RC5 -DOPENSSL_NO_MDC2 -DOPENSSL_N O_KRB5\\ available timing options: TIMEB HZ=1000\\ timing function used: ftime\\ The 'numbers' are in 1000s of bytes per second processed.\\ type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes\\ aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k sign verify sign/s verify/s rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 >><< Une clef asymétrique de 1024 bits est '''49207/87 = 565''' fois moins performante qu'une clef symétrique AES-CBC. Changed lines 10-12 from:
!!!Création to:
!!!{+1. Création d'une autorité racine (''Certificat Autority'')+} Cette autorité personnelle devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque de l'utilisation des certificats générés. Changed lines 16-19 from:
\\ \\ to:
Changed lines 23-26 from:
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. to:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la création des certificats clients.\\ CA_crt.pem est le fichier contenant le certificat, il doit être fournit aux clients avec leurs certificats.\\ Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration openssl.cnf.\\ Changed lines 27-28 from:
to:
Changed lines 34-38 from:
to:
\\ \\ !!!{+2. Création d'un certificat+} Changed lines 50-51 from:
to:
Changed lines 73-75 from:
to:
!!!{+3. Commandes utiles+} Changed lines 214-215 from:
!!! Si to:
!!!{+4. Divers+} !!!Connexion manuelle à un serveur HTTPS Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS est possible avec OpenSSL. \\ Added lines 303-304:
!!!{+5. Signature de fichiers+} Changed lines 312-313 from:
Nous obtenons alors un fichier to:
Nous obtenons alors un fichier contenant ceci : Changed lines 364-365 from:
!!! to:
!!!{+6. Chiffrement par clef asymétrique+} Changed lines 3-4 from:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL Chaque commande indiquée ci-dessous devra être préfixée par openssl to:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL pour gérer les certificats.\\ Changed lines 6-9 from:
to:
Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe\\ \\ \\ Changed line 339 from:
to:
Nous en concluons que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\ Changed line 13 from:
Cette autorité devra être diffusée auprès des futurs utilisateurs des to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque les certificats délivrés seront utilisés. Changed lines 24-25 from:
Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL. to:
Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL.\\ Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. Added line 32:
Changed lines 55-67 from:
to:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%Si vous obtenez ce message :\\ @@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ @@@@\\ @@unable to load certificate@@\\ @@260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE@@\\ @@error in ca@@\\ La CA passée en paramètre n'est pas au format PEM. Le certificat est créé. Changed lines 72-75 from:
!!! %left to:
!!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ Changed lines 78-88 from:
!!! on commence par créer une clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''req -new -key client_pvk.pem -out client_csr to:
!!!Transformation au format binaire de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@ Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. Changed lines 88-109 from:
!!! Maintenant, nous agissons en temps qu %left bgcolor=#f0f0f0' padding=5px%@@'''ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem'''@@ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%Si vous obtenez ce message :\\ @@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ @@@@\\ @@unable to load certificate@@\\ @@260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE@@\\ @@error in ca@@\\ La CA passée en paramètre n'est pas au format PEM. !!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem to:
!!!Convertion du certificat PEM en X509 pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ Changed lines 95-102 from:
!!! %left bgcolor=#f0f0f0' padding=5px%@@'''rsa Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. to:
!!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ Deleted lines 101-114:
%left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ \\ !!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ \\ Changed lines 57-67 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@ CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL. \\ \\ to:
Changed line 252 from:
verify error:num=20:unable to get local issuer certificate\\ to:
verify error:num=20:[[unable to get local issuer certificate|unable to get local issuer certificate]]\\ Changed line 301 from:
Verify return code: 20 (unable to get local issuer certificate)\\ to:
Verify return code: 20 ([[unable to get local issuer certificate|unable to get local issuer certificate]])\\ Changed lines 325-327 from:
Un chapitre d'approfondissement sur la correction de l'erreur [[unable to get local issuer certificate|unable to get local issuer certificate]]. to:
[[#issuercertificate]]Un chapitre d'approfondissement sur la correction de l'erreur [[unable to get local issuer certificate|unable to get local issuer certificate]]. Added lines 384-385:
Added lines 388-391:
!!!Le chiffrement par clef asymétrique Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ Deleted lines 392-396:
!!!Le chiffrement par clefs asymétriques Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ \\ Added line 418:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc est exactement celle de la clef. Deleted line 434:
Changed lines 447-449 from:
!!! La to:
!!!Déchiffrer un bloc de données cryptées La déchiffrement se fait uniquement avec la clef privée du certificat, le type de padding doit être indiqué et biensûr ne peut être deviné ! Changed line 452 from:
@@Enter pass phrase for client_pvk.pem:@@ to:
@@Enter pass phrase for client_pvk.pem:@@ Changed line 413 from:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit to:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\ Changed line 416 from:
!!!Chiffrer 128 to:
!!!Chiffrer 128 octets de données avec un certificat 1024 bits Changed lines 428-433 from:
si le fichier !!!Chiffrer 128 to:
si le fichier à crypter est d'une taille supérieure à la clef\\ !!!Chiffrer 128 octets de données (ou moins) avec un certificat Changed lines 453-463 from:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée au destinataire. to:
>><< Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire. Changed line 407 from:
Par an, en France, entre 10 et 30 personnes to:
Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ Changed line 31 from:
to:
Il s'agit d'une simple convertion d'un format Base64 en son équivalent binaire Changed lines 383-463 from:
to:
@@issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net@@ \\ \\ \\ !!!Le chiffrement par clefs asymétriques Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ \\ S'agissant d'un chiffrement par bloc, la quantité de données chiffrables par la clef est limitée à la taille de la clef moins la taille nécessaire à la déclaration du [[http://fr.wikipedia.org/wiki/Remplissage_%28cryptographie%29|padding]].\\ La taille de la clef RSA est de 1024 bits, petite vérification :\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''rsa -in client_pvk.pem -inform PEM -text'''\\ Enter pass phrase for client_pvk.pem:\\ Private-Key: ('''1024 bits''')\\ modulus:\\ 00:b0:62:be:04:d9:04:6b:67:01:18:d4:4f:97:11:\\ f4:1d:84:14:99:70:b9:a7:01:fd:c5:41:95:c3:62:\\ ... >><< '''1024 bits, est-ce une taille acceptable pour le chiffrement de mes données ?'''\\ Oui car 2^1024 est un chiffre absolument gigantesque, un exemple pour en caresser l'idée.\\ Par an, en France, entre 10 et 30 personnes meurrent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ La probabilité qu'une de ces mêmes personnes ne gagne à l'euromillion LE MEME JOUR est de 2^46\\ Nous sommes encore bien loin du compte car 46 est largement plus petit que 1024.\\ Remarquons au passage que les dernières estimations de l'age de l'univers sont de 2^59 secondes (15x10^9 années)... \\ Maintenant que nous sommes rassurés sur la taille et donc la complexité de notre clef de chiffrement, voyons comment l'utiliser.\\ \\ Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit de 128 caractéres (1024/8) moins le padding.\\ \\ !!!Chiffrer 128 caractéres avec un certificat 1024 bits >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw'''\\ @@Loading 'screen' into random state - done@@ >><< %left bgcolor=#ffffcc border='1px dotted red' padding=5px%On obtient une erreur\\ @@RSA operation error@@\\ @@816:error:0406B07A:rsa routines:RSA_padding_add_none:data too small for key size:.\crypto\rsa\rsa_none.c:76:@@\\ @@error in rsautl@@\\ si le fichier à chiffrer fait moins de 128 caractères car nous avons précisé qu'il ne faut pas utiliser de padding (-raw) et\\ @@816:error:0406B06E:rsa routines:RSA_padding_add_none:data too large for key size:.\crypto\rsa\rsa_none.c:70:@@\\ si le fichier a crypter est d'une taille supérieure à la clef\\ !!!Chiffrer 128 caractéres (ou moins) avec un certificat Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw''' >><< Sans paramètre, le padding sera PKCS#1 v1.5, les tailles de données cryptables en fonction des padding sont les suivantes :\\ http://www.openssl.org/docs/crypto/RSA_public_encrypt.html\\ - exactement 128 octets si pas de padding (-raw)\\ - moins de 117 octets pour un padding PKCS #1 v1.5 ou SSL (-pkcs, -ssl)\\ - moins de 87 octets pour un padding PKCS#1 OAEP (-oaep)\\ !!!déchiffrer un bloc de données La déchiffrement se fait avec la clef privée du certificat, la padding doit être indiqué et biensûr ne peut être deviné ! >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt'''\\ @@Loading 'screen' into random state - done@@\\ @@Enter pass phrase for client_pvk.pem:@@\\ Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée au destinataire. Changed line 97 from:
Le numéro de to:
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ Added lines 135-145:
!!!Changer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -der -in client_pvk.pem -out client_unpvk.pem'''@@\\ @@Enter pass phrase for client_pvk.pem:@@\\ @@writing RSA key@@\\ @@Enter PEM pass phrase:@@\\ @@Verifying - Enter PEM pass phrase:@@ \\ Changed lines 53-59 from:
@@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. Deleted lines 54-59:
!!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ Changed lines 57-64 from:
!!! Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et to:
!!!Autosignature de la nouvelle autorité racine %left bgcolor=#f0f0f0' padding=5px%@@'''req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@ CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL. Deleted lines 65-70:
!!!Convertion du certificat PEM en X509 pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ Changed lines 68-72 from:
!!! to:
!!!Transformation au format Microsoft %left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in CA_crt.pem -outform DER -out CA_crt.der'''@@ Added lines 74-134:
!!!Création du Certificat Signing Request (CSR) client on commence par créer une clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out client_pvk.pem 1024'''@@ puis à partir de cette clef privée nous générons la CSR %left bgcolor=#f0f0f0' padding=5px%@@'''req -new -key client_pvk.pem -out client_csr.pem'''@@ \\ !!!Signature de la requête CSR Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR %left bgcolor=#f0f0f0' padding=5px%@@'''ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem'''@@ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%Si vous obtenez ce message :\\ @@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ @@@@\\ @@unable to load certificate@@\\ @@260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE@@\\ @@error in ca@@\\ La CA passée en paramètre n'est pas au format PEM. !!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ \\ !!!Transformation au format binaire de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@ Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. \\ !!!Convertion du certificat PEM en X509 pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ \\ !!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ \\ Changed lines 175-176 from:
to:
Deleted line 177:
Added lines 181-187:
!!!Validation du rôle du certificat %left bgcolor=#f0f0f0' padding=5px%@@'''verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem'''@@\\ @@client_crt.pem: OK@@ Changed lines 265-269 from:
to:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. Un chapitre d'approfondissement sur la correction de l'erreur [[unable to get local issuer certificate|unable to get local issuer certificate]]. Changed lines 302-303 from:
La clef publique étant to:
La clef publique étant extraite du certificat, il ne sera pas nécessaire de la fournir avec le fichier de signature Added lines 145-148:
>><< !!!Identité du propriétaire >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< Deleted lines 150-155:
'''x509 -serial -noout -in google.crt'''\\ serial=4BA5AE59DEDD1CC7807C892291F0E243 '''x509 -issuer -noout -in google.crt'''\\ issuer= /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA Changed lines 153-155 from:
to:
!!!Numéro de série du certificat Nécessaire à la CRL ('''certification revocation list'') >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''x509 -serial -noout -in google.crt'''\\ serial=4BA5AE59DEDD1CC7807C892291F0E243 >><< !!!Identification de l'émetteur du certificat >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''x509 -issuer -noout -in google.crt'''\\ issuer= /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA >><< !!!Date de début de validité du certificat >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''x509 -startdate -noout -in google.crt'''\\ notBefore=May 15 23:18:11 2006 GMT >><< Deleted lines 184-190:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -startdate -noout -in client_crt.pem'''@@\\ @@notBefore=Dec 12 09:57:30 2006 GMT@@ \\ Changed line 23 from:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats. to:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Changed lines 93-97 from:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -text -in client_pub.pem'''@@ to:
!!!Extraction des informations d'un certificat >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''x509 -text -noout -in google.crt'''\\ Certificate: Data: Version: 3 (0x2) Serial Number: 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43 Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA Validity Not Before: May 15 23:18:11 2006 GMT Not After : May 15 23:18:11 2007 GMT Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46: be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9: 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56: e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba: e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c: f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2: 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94: 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3: 8d:fe:54:a8:fe:d3:97:8f:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto X509v3 CRL Distribution Points: URI:http://crl.thawte.com/ThawteSGCCA.crl Authority Information Access: OCSP - URI:http://ocsp.thawte.com CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt X509v3 Basic Constraints: critical CA:FALSE Signature Algorithm: md5WithRSAEncryption 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b: 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af: 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24: c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b: 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00: c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03: bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59: 68:81 '''x509 -subject -noout -in google.crt'''\\ subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com '''x509 -serial -noout -in google.crt'''\\ serial=4BA5AE59DEDD1CC7807C892291F0E243 '''x509 -issuer -noout -in google.crt'''\\ issuer= /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA >><< Changed lines 164-165 from:
@@ to:
@@client_crt.pem: OK@@ Changed lines 179-232 from:
to:
>>teal background-color:#f0f0f0 padding=5px font-family=monospace<< '''s_client -connect www.google.fr:443'''\\ Loading 'screen' into random state - done\\ CONNECTED(00000788)\\ depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA\\ verify error:num=20:unable to get local issuer certificate\\ verify return:0\\ ---\\ Certificate chain\\ 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com\\ i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA\\ 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA\\ i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority\\ ---\\ Server certificate\\ -----BEGIN CERTIFICATE-----\\ MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM\\ MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg\\ THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wNjA1MTUyMzE4MTFaFw0w\\ NzA1MTUyMzE4MTFaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh\\ MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRcw\\ FQYDVQQDEw53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC\\ gYEA5sXGjc0LowME3K7MyUa+vcydvHM0SP7TdWTQycl2J3IPqZYaO4HzFPaukFbn\\ GdJzaKeFpK7KJBQwALroNl2BczpxBY+xrxGH2lzxPr9TUYRvRA636CbXL7Jv8vJd\\ 36fPjKXpHm8wSJQhCwGtug5xAQ0Q77/uLNON/lSo/tOXj8sCAwEAAaOB5zCB5DAo\\ BgNVHSUEITAfBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEATA2BgNVHR8E\\ LzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlU0dDQ0EuY3Js\\ MHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0cDovL29jc3AudGhhd3Rl\\ LmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv\\ cnkvVGhhd3RlX1NHQ19DQS5jcnQwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQF\\ AAOBgQBXS7ykQ+fgAZKgljX5GAiIHXtwGY/5NrIFOgXKFFlNJA7liq9Oh1r3HCqW\\ j8thQJ7StDhAISTBTx/LE0qPlQLfkT3WQOsRb5sQoW/OkV4w9m0TXhWkLsIYngDD\\ 2DJnR/y4HprZmo7M/3wStwO/UiDPIfTzd90SFfCU+pDV41logQ==\\ -----END CERTIFICATE-----\\ subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com\\ issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA\\ ---\\ No client certificate CA names sent\\ ---\\ SSL handshake has read 1777 bytes and written 322 bytes\\ ---\\ New, TLSv1/SSLv3, Cipher is AES256-SHA\\ Server public key is 1024 bit\\ Compression: NONE\\ Expansion: NONE\\ SSL-Session:\\ Protocol : TLSv1\\ Cipher : AES256-SHA\\ Session-ID: D596685E782544409A2AAA0209CB1DC93C9136FA7BD704E9F6E2CF9034F5ED3A\\ Session-ID-ctx:\\ Master-Key: DD3B0CDF8BCC32ECFB9AF7B97AB46CCF2D731E929B0048444D62EA45486774E74F23FF950F3BBBE0992AFED425413FBA\\ Key-Arg : None\\ Start Time: 1169126487\\ Timeout : 300 (sec)\\ Verify return code: 20 (unable to get local issuer certificate)\\ ---\\ '''GET / HTTP/1.0'''\\ Changed lines 237-243 from:
to:
HTTP/1.0 302 Found\\ Location: http://www.google.com\\ Date: Thu, 18 Jan 2007 13:21:21 GMT\\ Content-Type: text/html\\ Server: GFE/1.3\\ Connection: Close\\ Content-Length: 218\\ Changed lines 245-253 from:
to:
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">\\ <TITLE>302 Moved</TITLE></HEAD><BODY>\\ <H1>302 Moved</H1>\\ The document has moved\\ <A HREF="http://www.google.com">here</A>.\\ </BODY></HTML>\\ read:errno=0\\ >><< Changed lines 315-318 from:
@@issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net@@ to:
@@issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net@@ Changed lines 205-212 from:
Nous obtenons alors un fichier ayant ce format : SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264\\ e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58c\\ b4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41\\ %left to:
Nous obtenons alors un fichier ayant ce format : %left bgcolor=#f0f0f0' padding=5px%@@SHA1(C:\archive.zip)=@@ @@3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264@@\\ @@e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58c@@\\ @@b4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41@@\\ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%A noter que le format hex n'est pas supporté par la méthode verify, la signature devra être au format binaire. Changed lines 1-2 from:
%left bgcolor=#f0f0f0' padding=5px%@@set OPENSSL_CONF= to:
%left bgcolor=#f0f0f0' padding=5px%@@'''set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf'''@@ Changed lines 11-12 from:
%left bgcolor=#f0f0f0' padding=5px%@@genrsa -des3 -out CA_pvk.pem 1024@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out CA_pvk.pem 1024'''@@ Changed lines 20-21 from:
%left bgcolor=#f0f0f0' padding=5px%@@req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@ Changed lines 30-31 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -in CA_crt.pem -outform DER -out CA_crt.der@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in CA_crt.pem -outform DER -out CA_crt.der'''@@ Changed lines 38-39 from:
%left bgcolor=#f0f0f0' padding=5px%@@genrsa -des3 -out client_pvk.pem 1024@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out client_pvk.pem 1024'''@@ Changed lines 43-44 from:
%left bgcolor=#f0f0f0' padding=5px%@@req -new -key client_pvk.pem -out client_csr.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''req -new -key client_pvk.pem -out client_csr.pem'''@@ Changed lines 51-52 from:
%left bgcolor=#f0f0f0' padding=5px%@@ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem'''@@ Changed lines 65-66 from:
%left bgcolor=#f0f0f0' padding=5px%@@ca -revoke client_crt.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ Changed lines 72-73 from:
%left bgcolor=#f0f0f0' padding=5px%@@rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@ Changed lines 82-83 from:
%left bgcolor=#f0f0f0' padding=5px%@@pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ Changed lines 89-90 from:
%left bgcolor=#f0f0f0' padding=5px%@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ Changed lines 96-97 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -text -in client_pub.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -text -in client_pub.pem'''@@ Changed line 103 from:
%left bgcolor=#f0f0f0' padding=5px%@@verify -CAfile CA1_crt.pem client_crt.pem@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''verify -CAfile CA1_crt.pem client_crt.pem'''@@\\ Changed line 110 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -startdate -noout -in client_crt.pem@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -startdate -noout -in client_crt.pem'''@@\\ Deleted line 150:
Changed line 201 from:
%left bgcolor=#f0f0f0' padding=5px%@@dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@\\ Changed lines 218-219 from:
%left bgcolor=#f0f0f0' padding=5px%@@dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip'''@@ Changed lines 225-226 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -in client_crt.pem -pubkey -noout > client_pub.pem@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in client_crt.pem -pubkey -noout > client_pub.pem'''@@ Changed line 234 from:
%left bgcolor=#f0f0f0' padding=5px%@@dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip@@\\ to:
%left bgcolor=#f0f0f0' padding=5px%@@'''dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip'''@@\\ Changed lines 244-246 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -subject@@\\ @@subject= /C=FR/ST=FRANCE/O= to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in pubcert2.pem -noout -subject'''@@\\ @@subject= /C=FR/ST=FRANCE/O=Le nom du client/OU=Service/CN=www.test.com/emailAddress=monemail@test.com@@ Changed lines 249-250 from:
%left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -issuer@@\\ @@issuer= /C=FR/ST=France/L= to:
%left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in pubcert2.pem -noout -issuer'''@@\\ @@issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net@@ Changed lines 5-9 from:
'+ to:
\\ \\ !!!Création de l’autorité racine Changed lines 14-17 from:
to:
\\ \\ !!!Autosignature de la nouvelle autorité racine Changed lines 25-29 from:
'+ to:
\\ \\ !!!Transformation au format Microsoft Changed lines 32-34 from:
to:
\\ !!!Création du Certificat Signing Request (CSR) client Changed lines 45-49 from:
Cette fois ci to:
\\ !!!Signature de la requête CSR Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR Changed lines 59-61 from:
' to:
\\ !!!Révocation d'un certificat Changed lines 67-69 from:
to:
\\ !!!Transformation au format binaire de la clef privée Changed lines 77-79 from:
to:
\\ !!!Convertion du certificat PEM en X509 pour IIS Changed lines 84-86 from:
to:
\\ !!!Retirer la passphrase de la clef privée Changed lines 91-93 from:
to:
\\ !!!Extraction du texte d'un certificat Changed lines 98-102 from:
'+ to:
\\ !!!Validation de la CA émettrice du certificat Changed lines 106-109 from:
to:
\\ !!!Date de début de validité du certificat Changed lines 113-116 from:
'+Signature au format hexadécimale d'un fichier avec un certificat+' to:
\\ !!!Se connecter à un serveur HTTPS manuellement Si pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL. \\ Exemple de GET aveugle sur https://www.google.fr %left bgcolor=#f0f0f0' padding=5px%@@'''s_client -connect www.google.fr:443'''@@\\ @@Loading 'screen' into random state - done@@\\ @@CONNECTED(00000784)@@\\ @@depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@verify error:num=20:unable to get local issuer certificate@@\\ @@verify return:0@@\\ @@---@@\\ @@Certificate chain@@\\ @@ 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com@@\\ @@ i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@ 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@ i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority@@\\ @@---@@\\ @@Server certificate@@\\ @@-----BEGIN CERTIFICATE-----@@\\ @@MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM@@\\ @@MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg@@\\ @@THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wNjA1MTUyMzE4MTFaFw0w@@\\ @@NzA1MTUyMzE4MTFaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh@@\\ @@MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRcw@@\\ @@FQYDVQQDEw53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC@@\\ @@gYEA5sXGjc0LowME3K7MyUa+vcydvHM0SP7TdWTQycl2J3IPqZYaO4HzFPaukFbn@@\\ @@GdJzaKeFpK7KJBQwALroNl2BczpxBY+xrxGH2lzxPr9TUYRvRA636CbXL7Jv8vJd@@\\ @@36fPjKXpHm8wSJQhCwGtug5xAQ0Q77/uLNON/lSo/tOXj8sCAwEAAaOB5zCB5DAo@@\\ @@BgNVHSUEITAfBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEATA2BgNVHR8E@@\\ @@LzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlU0dDQ0EuY3Js@@\\ @@MHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0cDovL29jc3AudGhhd3Rl@@\\ @@LmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv@@\\ @@cnkvVGhhd3RlX1NHQ19DQS5jcnQwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQF@@\\ @@AAOBgQBXS7ykQ+fgAZKgljX5GAiIHXtwGY/5NrIFOgXKFFlNJA7liq9Oh1r3HCqW@@\\ @@j8thQJ7StDhAISTBTx/LE0qPlQLfkT3WQOsRb5sQoW/OkV4w9m0TXhWkLsIYngDD@@\\ @@2DJnR/y4HprZmo7M/3wStwO/UiDPIfTzd90SFfCU+pDV41logQ==@@\\ \\ @@-----END CERTIFICATE-----@@\\ @@subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com@@\\ @@issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@---@@\\ @@No client certificate CA names sent@@\\ @@---@@\\ @@SSL handshake has read 1777 bytes and written 346 bytes@@\\ @@---@@\\ @@New, TLSv1/SSLv3, Cipher is AES256-SHA@@\\ @@Server public key is 1024 bit@@\\ @@SSL-Session:@@\\ @@ Protocol : TLSv1@@\\ @@ Cipher : AES256-SHA@@\\ @@ Session-ID: 324A8C64623FD9EACF9F1D501D4FF4EB24C0E4298B753C169EF3BA6F945BA99F@@\\ @@ Session-ID-ctx:@@\\ @@ Master-Key: 4C6CD25586CCBFB8750BAE881731956110990F22FAFB94AF9E8FC958EC8CB18EE3E2769828959B357972D36AA5B0693F@@\\ @@ Key-Arg : None@@\\ @@ Start Time: 1166439884@@\\ @@ Timeout : 300 (sec)@@\\ @@ Verify return code: 20 (unable to get local issuer certificate)@@\\ @@---@@\\ @@'''GET / HTTP/1.0'''@@\\ \\ @@HTTP/1.0 302 Found@@\\ @@Location: http://www.google.com@@\\ @@Date: Mon, 18 Dec 2006 11:04:44 GMT@@\\ @@Content-Type: text/html@@\\ @@Server: GFE/1.3@@\\ @@Connection: Close@@\\ @@Content-Length: 218@@\\ \\ @@<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">@@\\ @@<TITLE>302 Moved</TITLE></HEAD><BODY>@@\\ @@<H1>302 Moved</H1>@@\\ @@The document has moved@@\\ @@<A HREF="http://www.google.com">here</A>.@@\\ @@</BODY></HTML>@@\\ @@read:errno=0@@ On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. \\ !!!Signature au format hexadécimale d'un fichier avec un certificat Changed lines 214-217 from:
to:
\\ !!!Signature au format binaire d'un fichier avec un certificat Changed lines 221-224 from:
to:
\\ !!!Création de la clef publique à partir du certificat Changed lines 230-232 from:
to:
\\ !!!Vérification de la concordance fichier / clef publique Changed lines 240-241 from:
to:
Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\ Nous devons maintenant vérifier le contenu du certificat. L'identité de son propriétaire %left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -subject@@\\ @@subject= /C=FR/ST=FRANCE/O=Credit du Nord/OU=DSIP/CN=SEC001PUB001/emailAddress=dsip.ctisuppinternet@cdn.fr@@ L'identité de l'émetteur du certificat %left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -issuer@@\\ @@issuer= /C=FR/ST=France/L=Seclin/O=Credit du Nord/OU=DSIP/CN=cdn/emailAddress=dsip.cticertificatverisign@cdn.fr@@ Changed lines 74-75 from:
%left bgcolor=#f0f0f0' padding=5px%@@openssl rsa - to:
%left bgcolor=#f0f0f0' padding=5px%@@openssl rsa -in client_pvk.pem -out client_unpvk.pem@@ Changed lines 3-5 from:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL. to:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL.\\ Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe\\ Changed lines 47-49 from:
failed to update database\\ TXT_DB error number 2\\ error in ca\\ to:
@@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Changed lines 115-118 from:
%left bgcolor=#f0f0f0' padding=5px%@@ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ to:
%left bgcolor=#f0f0f0' padding=5px%@@dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ Changed lines 1-4 from:
(:if:) set OPENSSL_CONF=D:\dev\openssl- to:
%left bgcolor=#f0f0f0' padding=5px%@@set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf@@ Changed lines 6-7 from:
'+Création de l’autorité racine+' genrsa -des3 to:
'+Création de l’autorité racine+' %left bgcolor=#f0f0f0' padding=5px%@@genrsa -des3 -out CA_pvk.pem 1024@@ Changed lines 13-14 from:
'+Autosignature de la nouvelle autorité racine+' req -new to:
'+Autosignature de la nouvelle autorité racine+' %left bgcolor=#f0f0f0' padding=5px%@@req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem@@ Changed lines 23-25 from:
'+Transformation au format Microsoft+' x509 -in to:
'+Transformation au format Microsoft+' %left bgcolor=#f0f0f0' padding=5px%@@x509 -in CA_crt.pem -outform DER -out CA_crt.der@@ Changed lines 29-34 from:
on commence par créer une clef privée genrsa -des3 puis à partir de cette clef privée nous générons la CSR req -new to:
on commence par créer une clef privée %left bgcolor=#f0f0f0' padding=5px%@@genrsa -des3 -out client_pvk.pem 1024@@ puis à partir de cette clef privée nous générons la CSR %left bgcolor=#f0f0f0' padding=5px%@@req -new -key client_pvk.pem -out client_csr.pem@@ Changed lines 41-43 from:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR ca -out Si vous ontenez to:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR %left bgcolor=#f0f0f0' padding=5px%@@ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem@@ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%Si vous obtenez ce message :\\ Changed lines 50-54 from:
ca -revoke client_crt.pem '+Transformation au format binaire de la clef privée+'\\ rsa –inform pem –outform to:
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant. '+Révocation d'un certificat+' %left bgcolor=#f0f0f0' padding=5px%@@ca -revoke client_crt.pem@@ '+Transformation au format binaire de la clef privée+' %left bgcolor=#f0f0f0' padding=5px%@@rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net@@ Changed lines 65-88 from:
'+Convertion du certificat PEM en X509 pour IIS+' pkcs12 -export openssl rsa x509 -text verify -CAfile c:\client_crt.pem: OK x509 -startdate notBefore=Dec 12 09:57:30 2006 GMT dgst -hex Enter pass phrase for client_pvk.pem:\\ to:
'+Convertion du certificat PEM en X509 pour IIS+' %left bgcolor=#f0f0f0' padding=5px%@@pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"@@ '+Retirer la passphrase de la clef privée+' %left bgcolor=#f0f0f0' padding=5px%@@openssl rsa --in client_pvk.pem --out client_unpvk.pem@@ '+Extraction du texte d'un certificat+' %left bgcolor=#f0f0f0' padding=5px%@@x509 -text -in client_pub.pem@@ '+Validation de la CA émettrice du certificat+' %left bgcolor=#f0f0f0' padding=5px%@@verify -CAfile CA1_crt.pem client_crt.pem@@\\ @@c:\client_crt.pem: OK@@ '+Date de début de validité du certificat+' %left bgcolor=#f0f0f0' padding=5px%@@x509 -startdate -noout -in client_crt.pem@@\\ @@notBefore=Dec 12 09:57:30 2006 GMT@@ '+Signature au format hexadécimale d'un fichier avec un certificat+' %left bgcolor=#f0f0f0' padding=5px%@@dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@\\ @@Enter pass phrase for client_pvk.pem:@@\\ Changed lines 107-113 from:
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera celle-ci :\\ dgst -sha1 -sign client_pvk.pem '+Création de la clef publique à partir du certificat+' x509 -in client_crt to:
%left bgcolor=#ffffcc border='1px dotted red' padding=5px%A noter que le format hex n'est pas supporté par la méthode verify, la signature doit être au format binaire. '+Signature au format binaire d'un fichier avec un certificat+' %left bgcolor=#f0f0f0' padding=5px%@@ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ '+Création de la clef publique à partir du certificat+' %left bgcolor=#f0f0f0' padding=5px%@@x509 -in client_crt.pem -pubkey -noout > client_pub.pem@@ Changed lines 126-133 from:
'+Vérification de la concordance fichier / clef publique+' dgst -sha1 Verified OK ''ou'' Verification Failure vous to:
'+Vérification de la concordance fichier / clef publique+' %left bgcolor=#f0f0f0' padding=5px%@@dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip@@\\ @@Verified OK ''ou'' Verification Failure@@ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%vous obtenez un ''unable to load key file'' si vous utilisez un certificat au lieu d'une clef publique Changed line 8 from:
'+ to:
'+Création de l’autorité racine+'\\ Changed line 12 from:
'+ to:
'+Autosignature de la nouvelle autorité racine+'\\ Changed line 19 from:
'+ to:
'+Transformation au format Microsoft+'\\ Changed line 22 from:
'+ to:
'+Création du Certificat Signing Request (CSR) client+'\\ Changed line 39 from:
'+ to:
'+Transformation au format binaire de la clef privée+'\\ Changed line 44 from:
'+ to:
'+Convertion du certificat PEM en X509 pour IIS+'\\ Changed line 47 from:
'+ to:
'+Retirer la passphrase de la clef privée+'\\ Changed line 50 from:
'+ to:
'+Extraction du texte d'un certificat+'\\ Changed line 55 from:
'+ to:
'+Validation de la CA émettrice du certificat+'\\ Changed line 60 from:
'+ to:
'+Date de début de validité du certificat+'\\ Changed line 65 from:
'+ to:
'+Signature d'un fichier avec un certificat+'\\ Changed line 77 from:
'+ to:
'+Création de la clef publique à partir du certificat+'\\ Changed line 81 from:
'+ to:
'+Vérification de la concordance fichier / clef publique+'\\ Changed lines 4-6 from:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf '+Création to:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf\\ le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL. '+création de l’autorité racine+'\\ Changed lines 10-19 from:
'+Autosignature du CA+'\\ req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients\\ CA_crt.pem est le fichier contenant '+retirer la passphrase de la clef privée+'\\ openssl rsa --in client_pvk.pem --out client_unpvk to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats '+autosignature de la nouvelle autorité racine+'\\ req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem\\ CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats. Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL. Changed lines 22-23 from:
'+ to:
'+création du Certificat Signing Request (CSR) client+'\\ on commence par créer une clef privée\\ Added line 25:
puis à partir de cette clef privée nous générons la CSR\\ Changed lines 28-31 from:
les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private\\ to:
Changed lines 30-31 from:
to:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR\\ ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem\\ Si vous ontenez ce message :\\ Deleted line 35:
Changed line 39 from:
'+ to:
'+transformation au format binaire de la clef privée+'\\ Changed lines 41-43 from:
clef privée to:
Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. Changed lines 47-49 from:
to:
'+retirer la passphrase de la clef privée+'\\ openssl rsa --in client_pvk.pem --out client_unpvk.pem Changed line 55 from:
'+validation de to:
'+validation de la CA émettrice du certificat+'\\ Changed line 71 from:
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera to:
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera celle-ci :\\ Changed lines 76-77 from:
x509 -in client_crt.pem -pubkey > client_pub.pem to:
x509 -in client_crt.pem -pubkey -noout > client_pub.pem\\ La clef publique étant générable par n'importe qui il ne sera pas nécessaire de la fournir avec le fichier de signature Changed lines 83-86 from:
vous obtenez un ''unable to load key file'' si vous to:
vous obtenez un ''unable to load key file'' si vous utilisez un certificat au lieu d'une clef publique Added line 66:
Nous obtenons alors un fichier ayant ce format :\\ Changed lines 70-71 from:
to:
A noter que le format hex n'est pas supporté par la méthode verify donc pour permettre la validation de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera donc celle-ci :\\ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip Changed lines 78-85 from:
dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip to:
'+vérification de la concordance fichier / clef publique+'\\ dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip\\ Verified OK ''ou'' Verification Failure \\ vous obtenez un ''unable to load key file'' si vous utiliser le certificat au lieu de la clef publique Changed line 44 from:
'+ to:
'+convertion du certificat PEM en X509 pour IIS+'\\ Changed lines 52-55 from:
x509 -in client_crt.pem -pubkey > client_pub.pem to:
Changed lines 55-57 from:
c: to:
c:\client_crt.pem: OK\\ Changed lines 66-70 from:
SHA1(C:\archive.zip)= to:
SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264\\ e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58c\\ b4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41\\ '+création de la clef publique à partir du certificat+'\\ x509 -in client_crt.pem -pubkey > client_pub.pem Changed lines 76-81 from:
dgst -sha1 -verify client_ to:
dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip Changed lines 15-17 from:
to:
'+retirer la passphrase de la clef privée+'\\ openssl rsa --in client_pvk.pem --out client_unpvk.pem Changed lines 67-81 from:
dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41 '+vérification de la signature+' ' openssl rsa --in client_pvk to:
dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip\\ Enter pass phrase for client_pvk.pem:\\ SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264e\\ 139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58cb\\ 4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41\\ '+vérification de la concordance fichier / signature+'\\ dgst -sha1 -verify client_crt.pem -signature test.sha1 C:\archive.zip Changed lines 49-55 from:
'+ to:
'+création de la clef publique à partir du certificat+'\\ x509 -in client_crt.pem -pubkey > client_pub.pem '+validation de l'émetteur du certificat+'\\ verify -CAfile CA1_crt.pem client_crt.pem\\ Changed lines 59-64 from:
'+ to:
'+date de début de validité du certificat+'\\ x509 -startdate -noout -in client_crt.pem\\ notBefore=Dec 12 09:57:30 2006 GMT '+signature d'un fichier avec un certificat+'\\ dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41 Changed lines 42-44 from:
'+ to:
'+Convertion du certificat PEM en X509 pour IIS+'\\ pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel" Added lines 64-65:
Changed lines 13-16 from:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) to:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats '+transformation au format Microsoft+'\\ x509 -in CA_crt.pem -outform DER -out CA_crt.der '+Création du Certificat Signing Request (CSR) client+'\\ Changed line 27 from:
Signature de la requête CSR\\ to:
'+Signature de la requête CSR+'\\ Changed line 37 from:
pour IIS transformation au format binaire de la clef privée to:
'+pour IIS transformation au format binaire de la clef privée+'\\ Changed lines 42-45 from:
to:
'+Transformation du certificat PEM en X509 pour IIS+'\\ openssl x509 -in client_crt.pem -out iisx509.cer '+extraction du texte d'un certificat+'\\ Changed line 48 from:
verify -CAfile CA1_crt.pem client_crt.pem\\ to:
'+verify -CAfile CA1_crt.pem client_crt.pem+'\\ Changed line 52 from:
génération de la to:
'+génération de la signature+'\\ Changed line 55 from:
création de la clef publique à partir du to:
'+création de la clef publique à partir du certificat+'\\ Changed line 58 from:
vérification de la to:
'+vérification de la signature+'\\ Changed lines 61-64 from:
retirer la passphrase de la clef to:
'+retirer la passphrase de la clef privée+'\\ Added lines 54-59:
retirer la passphrase de la clef privée openssl rsa --in client_pvk.pem --out client_unpvk.pem Added lines 1-3:
(:if ! match -comments$ :) [[{$Name}-comments | Comments]] (:if:) Changed lines 13-14 from:
Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem to:
Création du Certificat Signing Request (CSR) client\\ genrsa -des3 -out client_pvk.pem 1024\\ Changed lines 17-21 from:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête to:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire.\\ les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private\\ Signature de la requête CSR\\ Changed lines 24-28 from:
failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). to:
failed to update database\\ TXT_DB error number 2\\ error in ca\\ You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists).\\ Changed lines 31-33 from:
pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la to:
pour IIS transformation au format binaire de la clef privée \\ rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net\\ suppression de l'entête texte du certificat client et importation de la \\ Changed lines 36-42 from:
extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem to:
extraction du texte d'un certificat\\ x509 -text -in client_pub.pem\\ verify -CAfile CA1_crt.pem client_crt.pem\\ c:\temp2\cert\client_crt.pem: OK\\ Deleted lines 0-1:
Changed line 3 from:
Création de l’autorité to:
'+Création de l’autorité racine+'\\ Changed lines 5-6 from:
Autosignature du to:
'+Autosignature du CA+'\\ Changed lines 9-12 from:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats to:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats\\ Added lines 1-51:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html |