Recent Changes - Search:

Accueil

OpenSSL

SyncML

Apache Portable Runtime

Libxml2

Net-snmp

CUrl

Boost

Perl

ZLib

Samba

VPN

Serveurs de messagerie

edit

OpenSSL/openssl

OpenSSL.LigneDeCommande History

Show minor edits - Show changes to markup

September 01, 2012, at 12:13 PM by 82.66.132.163 -
Added line 16:
Restore
July 11, 2009, at 01:03 PM by 82.66.132.163 -
Changed line 19 from:
to:
Restore
June 17, 2008, at 04:29 PM by Arnaud Grandville - ajout du format PFX
Added lines 94-95:
Changed lines 208-210 from:

Convertion du certificat PEM en X509 pour Microsoft

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.p12 -name "Mon certificat SSL personnel"\\

to:

Convertion du certificat pour importation sous IIS6

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"\\

Added lines 217-218:

Il est à noter pour les utilisateurs sous Windows que le Platform SDK Redistributable: CAPICOM contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows.

Added lines 220-221:
Restore
November 23, 2007, at 02:32 PM by Arnaud Grandville -
Changed line 17 from:
to:
Restore
November 23, 2007, at 02:31 PM by Arnaud Grandville -
Added line 17:
Changed lines 660-661 from:

8. Format binaire des certificats

to:

8. Format S/MIME

c'est par ici

Added lines 663-665:

9. Format binaire des certificats

\\

Restore
November 23, 2007, at 09:16 AM by Arnaud Grandville -
Changed line 529 from:

Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\

to:

Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\

Changed line 533 from:

Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef.

to:

Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes.

Changed line 550 from:

Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera

to:

Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera

Changed line 552 from:

rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw

to:

rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc

Changed line 606 from:

8. Format binaire des certificats

to:

Exemple de chiffrement d'un fichier

Changed lines 608-615 from:

Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

to:

Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires.
Après avoir généré les certificats de chaque destinataire, générons une clef symétrique

C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48
Loading 'screen' into random state - done

Added line 617:

Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\

Added lines 619-626:

Chiffrons le fichier archive.rar.

C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p
salt=F384A365EC854856
key=14F7D9F96DC2C17CA02EF065A45A76E0
iv =5709622E05C1EE453DBD031975F4A96D

Added lines 628-664:

Chiffrons la clef de déchiffrement.

C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc
Loading 'screen' into random state - done

Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer.
La clef de déchiffrement est maintenant irrémédiablement cryptée avec la clef publique du certificat du destinataire (client1_crt.pem).

Le destinataire recevra ces fichiers :
- archive.rar.enc
- pass.client1.enc

Procédure de déchiffrement

C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt
Loading 'screen' into random state - done
Enter pass phrase for client1_pvk.pem:↵

C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc

Le fichier archive.rar est maintenant lisible.

8. Format binaire des certificats


Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

\\

Restore
November 18, 2007, at 09:45 AM by Arnaud Grandville -
Added line 17:
Changed lines 603-611 from:

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

to:

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

8. Format binaire des certificats


Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

\\

Restore
May 30, 2007, at 03:31 PM by Arnaud Grandville -
Changed lines 467-476 from:

Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC.

to:

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

Restore
May 21, 2007, at 12:17 PM by Arnaud Grandville -
Changed lines 451-455 from:

available timing options: TIMEB HZ=1000
timing function used: ftime
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 47866.52k 48210.39k 48913.17k 49207.26k 48419.09k

to:
 available timing options: TIMEB HZ=1000
 timing function used: ftime

 The 'numbers' are in 1000s of bytes per second processed.
 type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
 aes-128 cbc      47866.52k    48210.39k    48913.17k    49207.26k    48419.09k
Changed line 458 from:

rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3

to:
 rsa 1024 bits 0.011421s 0.000544s     87.6   1838.3
Restore
May 21, 2007, at 12:15 PM by Arnaud Grandville -
Changed line 386 from:

Remarquons au passage que les dernières estimations de l'age de l'univers sont de 2^59 secondes (15x10^9 années)... \\

to:

Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\

Changed line 389 from:

Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\

to:

Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\

Changed lines 431-439 from:

Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire.

to:

Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques.
Voici un test de performance :

OpenSSL> speed aes-128-cbc rsa1024
To get the most accurate results, try to run this
program when this computer is idle.
First we calculate the approximate speed ...
Doing aes-128 cbc 20971520 times on 16 size blocks: 20971520 aes-128 cbc's in 7.01s
Doing aes-128 cbc 5242880 times on 64 size blocks: 5242880 aes-128 cbc's in 6.96s
Doing aes-128 cbc 1310720 times on 256 size blocks: 1310720 aes-128 cbc's in 6.86s
Doing aes-128 cbc 327680 times on 1024 size blocks: 327680 aes-128 cbc's in 6.82s
Doing aes-128 cbc 40960 times on 8192 size blocks: 40960 aes-128 cbc's in 6.93s
Doing 1310 1024 bit private rsa's: 1310 1024 bit private RSA's in 14.96s
Doing 13107 1024 bit public rsa's: 13107 1024 bit public RSA's in 7.13s
OpenSSL 0.9.8a 11 Oct 2005
built on: Fri Feb 3 15:41:35 2006
options:bn(64,32) md2(int) rc4(idx,int) des(idx,cisc,4,long) aes(partial) idea(int) blowfish(idx)
compiler: cl /MD /Ox /O2 /Ob2 /W3 /WX /Gs0 /GF /Gy /nologo -DOPENSSL_SYSNAME_WIN32 -DWIN32_LEAN_AND_MEAN -DL_ENDIAN -DDSO_WIN32 -D_CRT_SECURE_NO_DEPRECATE -DOPENSSL_USE_APPLINK -I. /Fdout32dll -DOPENSSL_NO_RC5 -DOPENSSL_NO_MDC2 -DOPENSSL_N O_KRB5
available timing options: TIMEB HZ=1000
timing function used: ftime
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 47866.52k 48210.39k 48913.17k 49207.26k 48419.09k 

                  sign    verify    sign/s verify/s

rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3

Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC.

Restore
February 23, 2007, at 08:31 PM by Arnaud Grandville -
Changed line 407 from:

Par an, en France, entre 10 et 30 personnes meurrent foudroyées ce qui correspond à une probabilité inverse de 2^21\\

to:

Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\

Restore
February 14, 2007, at 05:59 PM by Arnaud Grandville -
Changed lines 53-59 from:

Si vous obtenez ce message :
failed to update database
TXT_DB error number 2
error in ca
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.

to:

Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats.

Deleted lines 54-59:

Révocation d'un certificat

ca -revoke client_crt.pem

Changed lines 57-64 from:

Transformation au format binaire de la clef privée

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

Cette manipulation est nécessaire pour IIS.
Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.

to:

Autosignature de la nouvelle autorité racine

req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.
Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL.

Deleted lines 65-70:

Convertion du certificat PEM en X509 pour IIS

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

Changed lines 68-72 from:

Retirer la passphrase de la clef privée

rsa -in client_pvk.pem -out client_unpvk.pem

to:

Transformation au format Microsoft

x509 -in CA_crt.pem -outform DER -out CA_crt.der

Added lines 74-134:

Création du Certificat Signing Request (CSR) client

on commence par créer une clef privée

genrsa -des3 -out client_pvk.pem 1024

puis à partir de cette clef privée nous générons la CSR

req -new -key client_pvk.pem -out client_csr.pem


Signature de la requête CSR

Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

Si vous obtenez ce message :
failed to update database
TXT_DB error number 2
error in ca
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.

unable to load certificate
260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE
error in ca
La CA passée en paramètre n'est pas au format PEM.

Révocation d'un certificat

ca -revoke client_crt.pem


Transformation au format binaire de la clef privée

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

Cette manipulation est nécessaire pour IIS.
Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.


Convertion du certificat PEM en X509 pour IIS

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"


Retirer la passphrase de la clef privée

rsa -in client_pvk.pem -out client_unpvk.pem


Restore
February 14, 2007, at 01:52 PM by 82.240.108.185 -
Changed lines 175-176 from:


to:
Deleted line 177:
Added lines 181-187:

Validation du rôle du certificat

verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem
client_crt.pem: OK

Restore
December 18, 2006, at 12:27 PM by 194.2.239.230 -
Changed lines 5-9 from:

Création de l’autorité racine

to:



Création de l’autorité racine

Changed lines 14-17 from:

Autosignature de la nouvelle autorité racine

to:



Autosignature de la nouvelle autorité racine

Changed lines 25-29 from:

Transformation au format Microsoft

to:



Transformation au format Microsoft

Changed lines 32-34 from:

Création du Certificat Signing Request (CSR) client\\

to:


Création du Certificat Signing Request (CSR) client

Changed lines 45-49 from:

Signature de la requête CSR
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

to:


Signature de la requête CSR

Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

Changed lines 59-61 from:

Révocation d'un certificat

to:


Révocation d'un certificat

Changed lines 67-69 from:

Transformation au format binaire de la clef privée

to:


Transformation au format binaire de la clef privée

Changed lines 77-79 from:

Convertion du certificat PEM en X509 pour IIS

to:


Convertion du certificat PEM en X509 pour IIS

Changed lines 84-86 from:

Retirer la passphrase de la clef privée

to:


Retirer la passphrase de la clef privée

Changed lines 91-93 from:

Extraction du texte d'un certificat

to:


Extraction du texte d'un certificat

Changed lines 98-102 from:

Validation de la CA émettrice du certificat

to:


Validation de la CA émettrice du certificat

Changed lines 106-109 from:

Date de début de validité du certificat

to:


Date de début de validité du certificat

Changed lines 113-116 from:

Signature au format hexadécimale d'un fichier avec un certificat

to:


Se connecter à un serveur HTTPS manuellement

Si pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL.
Exemple de GET aveugle sur https://www.google.fr

s_client -connect www.google.fr:443
Loading 'screen' into random state - done
CONNECTED(00000784)
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
---
No client certificate CA names sent
---
SSL handshake has read 1777 bytes and written 346 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 324A8C64623FD9EACF9F1D501D4FF4EB24C0E4298B753C169EF3BA6F945BA99F
Session-ID-ctx:
Master-Key: 4C6CD25586CCBFB8750BAE881731956110990F22FAFB94AF9E8FC958EC8CB18EE3E2769828959B357972D36AA5B0693F
Key-Arg : None
Start Time: 1166439884
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
GET / HTTP/1.0

HTTP/1.0 302 Found
Location: http://www.google.com
Date: Mon, 18 Dec 2006 11:04:44 GMT
Content-Type: text/html
Server: GFE/1.3
Connection: Close
Content-Length: 218

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.com">here</A>.
</BODY></HTML>
read:errno=0

On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur.


Signature au format hexadécimale d'un fichier avec un certificat

Changed lines 214-217 from:

Signature au format binaire d'un fichier avec un certificat

to:


Signature au format binaire d'un fichier avec un certificat

Changed lines 221-224 from:

Création de la clef publique à partir du certificat

to:


Création de la clef publique à partir du certificat

Changed lines 230-232 from:

Vérification de la concordance fichier / clef publique

to:


Vérification de la concordance fichier / clef publique

Changed lines 240-241 from:
to:

Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.
Nous devons maintenant vérifier le contenu du certificat.

L'identité de son propriétaire

x509 -in pubcert2.pem -noout -subject
subject= /C=FR/ST=FRANCE/O=Credit du Nord/OU=DSIP/CN=SEC001PUB001/emailAddress=dsip.ctisuppinternet@cdn.fr

L'identité de l'émetteur du certificat

x509 -in pubcert2.pem -noout -issuer
issuer= /C=FR/ST=France/L=Seclin/O=Credit du Nord/OU=DSIP/CN=cdn/emailAddress=dsip.cticertificatverisign@cdn.fr

Restore
December 12, 2006, at 11:07 AM by 194.2.239.198 -
Changed lines 49-55 from:

verify -CAfile CA1_crt.pem client_crt.pem\\

to:

création de la clef publique à partir du certificat
x509 -in client_crt.pem -pubkey > client_pub.pem

validation de l'émetteur du certificat
verify -CAfile CA1_crt.pem client_crt.pem\\

Changed lines 59-64 from:

génération de la signature
dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html

création de la clef publique à partir du certificat
x509 -in client_crt.pem -pubkey > client_pub.pem

to:

date de début de validité du certificat
x509 -startdate -noout -in client_crt.pem
notBefore=Dec 12 09:57:30 2006 GMT

signature d'un fichier avec un certificat
dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41

Restore
January 10, 2006, at 12:07 AM by 82.66.132.163 -
Added lines 1-3:

(:if ! match -comments$ :) Comments 

 (:if:)
Restore
January 09, 2006, at 11:59 PM by 82.66.132.163 -
Changed lines 13-14 from:

Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024

to:

Création du Certificat Signing Request (CSR) client
genrsa -des3 -out client_pvk.pem 1024\\

Changed lines 17-21 from:

le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private

Signature de la requête CSR

to:

le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire.
les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private

Signature de la requête CSR\\

Changed lines 24-28 from:

failed to update database TXT_DB error number 2 error in ca

You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists).

to:

failed to update database
TXT_DB error number 2
error in ca
You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists).\\

Changed lines 31-33 from:

pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la

to:

pour IIS transformation au format binaire de la clef privée
rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net
suppression de l'entête texte du certificat client et importation de la \\

Changed lines 36-42 from:

extraction du texte d'un certificat x509 -text -in client_pub.pem

verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK

to:

extraction du texte d'un certificat
x509 -text -in client_pub.pem
verify -CAfile CA1_crt.pem client_crt.pem
c:\temp2\cert\client_crt.pem: OK

Restore
January 09, 2006, at 11:58 PM by 82.66.132.163 -
Deleted lines 0-1:
Changed line 3 from:

Création de l’autorité racine

to:

Création de l’autorité racine\\

Changed lines 5-6 from:

Autosignature du CA

to:

Autosignature du CA\\

Changed lines 9-12 from:

CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

to:

CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

Restore
January 09, 2006, at 10:06 PM by 82.66.132.163 -
Added lines 1-51:

set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf

Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem

le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private

Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

failed to update database TXT_DB error number 2 error in ca

You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem

pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS

extraction du texte d'un certificat x509 -text -in client_pub.pem

verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK

génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html

création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem

vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html

Restore
Edit - History - Print - Recent Changes - Search
Page last modified on September 01, 2012, at 12:13 PM