OpenSSL VPN Serveurs de messagerie |
OpenSSL/opensslOpenSSL.LigneDeCommande HistoryShow minor edits - Show changes to markup June 17, 2008, at 04:29 PM
by - ajout du format PFX
Added lines 94-95:
Changed lines 208-210 from:
Convertion du certificat PEM en X509 pour Microsoft
to:
Convertion du certificat pour importation sous IIS6
Added lines 217-218:
Il est à noter pour les utilisateurs sous Windows que le Platform SDK Redistributable: CAPICOM contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows. Added lines 220-221:
Changed line 17 from:
to:
Added line 17:
Changed lines 660-661 from:
to:
Added lines 663-665:
9. Format binaire des certificats\\ Changed line 529 from:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\ Changed line 533 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef. to:
Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes. Changed line 550 from:
Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera to:
Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera Changed line 552 from:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw to:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc Changed line 606 from:
8. Format binaire des certificatsto:
Exemple de chiffrement d'un fichierChanged lines 608-615 from:
Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ] to:
Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires. C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48 Added line 617:
Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\ Added lines 619-626:
Chiffrons le fichier archive.rar. C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p Added lines 628-664:
Chiffrons la clef de déchiffrement. C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer. Procédure de déchiffrement
C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc Le fichier archive.rar est maintenant lisible. 8. Format binaire des certificats
Added line 17:
Changed lines 603-611 from:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. 8. Format binaire des certificats
Changed lines 467-476 from:
Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Changed lines 451-455 from:
available timing options: TIMEB HZ=1000 to:
available timing options: TIMEB HZ=1000 Changed line 458 from:
rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 to:
rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 Changed line 386 from:
Remarquons au passage que les dernières estimations de l'age de l'univers sont de 2^59 secondes (15x10^9 années)... \\ to:
Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\ Changed line 389 from:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\ to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ Changed lines 431-439 from:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire. to:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques. OpenSSL> speed aes-128-cbc rsa1024 sign verify sign/s verify/s rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC. Changed line 407 from:
Par an, en France, entre 10 et 30 personnes meurrent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ to:
Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ Changed lines 53-59 from:
Si vous obtenez ce message : to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. Deleted lines 54-59:
Révocation d'un certificat
Changed lines 57-64 from:
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS. to:
Autosignature de la nouvelle autorité racine
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients Deleted lines 65-70:
Convertion du certificat PEM en X509 pour IIS
Changed lines 68-72 from:
Retirer la passphrase de la clef privée
to:
Transformation au format Microsoft
Added lines 74-134:
Création du Certificat Signing Request (CSR) clienton commence par créer une clef privée
puis à partir de cette clef privée nous générons la CSR
Signature de la requête CSRMaintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR
Si vous obtenez ce message : Révocation d'un certificat
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS.
Convertion du certificat PEM en X509 pour IIS
Retirer la passphrase de la clef privée
Changed lines 175-176 from:
to:
Deleted line 177:
Added lines 181-187:
Validation du rôle du certificat
Changed lines 5-9 from:
Création de l’autorité racine to:
Création de l’autorité racineChanged lines 14-17 from:
Autosignature de la nouvelle autorité racine to:
Autosignature de la nouvelle autorité racineChanged lines 25-29 from:
Transformation au format Microsoft to:
Transformation au format MicrosoftChanged lines 32-34 from:
Création du Certificat Signing Request (CSR) client\\ to:
Création du Certificat Signing Request (CSR) clientChanged lines 45-49 from:
Signature de la requête CSR to:
Signature de la requête CSRMaintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR Changed lines 59-61 from:
Révocation d'un certificat to:
Révocation d'un certificatChanged lines 67-69 from:
Transformation au format binaire de la clef privée to:
Transformation au format binaire de la clef privéeChanged lines 77-79 from:
Convertion du certificat PEM en X509 pour IIS to:
Convertion du certificat PEM en X509 pour IISChanged lines 84-86 from:
Retirer la passphrase de la clef privée to:
Retirer la passphrase de la clef privéeChanged lines 91-93 from:
Extraction du texte d'un certificat to:
Extraction du texte d'un certificatChanged lines 98-102 from:
Validation de la CA émettrice du certificat to:
Validation de la CA émettrice du certificatChanged lines 106-109 from:
Date de début de validité du certificat to:
Date de début de validité du certificatChanged lines 113-116 from:
Signature au format hexadécimale d'un fichier avec un certificat to:
Se connecter à un serveur HTTPS manuellementSi pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL.
On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur.
Signature au format hexadécimale d'un fichier avec un certificatChanged lines 214-217 from:
Signature au format binaire d'un fichier avec un certificat to:
Signature au format binaire d'un fichier avec un certificatChanged lines 221-224 from:
Création de la clef publique à partir du certificat to:
Création de la clef publique à partir du certificatChanged lines 230-232 from:
Vérification de la concordance fichier / clef publique to:
Vérification de la concordance fichier / clef publiqueChanged lines 240-241 from:
to:
Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis. L'identité de son propriétaire
L'identité de l'émetteur du certificat
Changed lines 49-55 from:
verify -CAfile CA1_crt.pem client_crt.pem\\ to:
création de la clef publique à partir du certificat validation de l'émetteur du certificat Changed lines 59-64 from:
génération de la signature création de la clef publique à partir du certificat to:
date de début de validité du certificat signature d'un fichier avec un certificat Changed lines 13-14 from:
Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 to:
Création du Certificat Signing Request (CSR) client Changed lines 17-21 from:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR to:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. Signature de la requête CSR\\ Changed lines 24-28 from:
failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). to:
failed to update database Changed lines 31-33 from:
pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la to:
pour IIS transformation au format binaire de la clef privée Changed lines 36-42 from:
extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK to:
extraction du texte d'un certificat Deleted lines 0-1:
Changed line 3 from:
Création de l’autorité racine to:
Création de l’autorité racine\\ Changed lines 5-6 from:
Autosignature du CA to:
Autosignature du CA\\ Changed lines 9-12 from:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats to:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients Added lines 1-51:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html |