OpenSSL VPN Serveurs de messagerie |
OpenSSL/opensslOpenSSL.LigneDeCommande HistoryHide minor edits - Show changes to markup Changed line 448 from:
On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui explique l'alerte unable to get local issuer certificate\\ to:
On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui générerait une alerte dans un navigateur web\\ Changed lines 33-34 from:
to:
Changed line 49 from:
to:
Changed line 105 from:
to:
Changed line 609 from:
OpenSSL 0.9.8a 11 Oct 2005\\ to:
OpenSSL 0.9.8h 11 Oct 2005\\ Changed line 90 from:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire to:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire Changed line 187 from:
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ to:
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ Changed lines 227-228 from:
Révocation d'un certificatto:
Changed lines 364-367 from:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. to:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. Ci-dessous, un exemple de GET aveugle sur https://www.google.fr : Changed lines 440-441 from:
to:
Changed lines 444-448 from:
On remarquera que le CN du certificat utilisé par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui provoque une alerte alors de l'accès à l'URL https://www.google.fr avec un navigateur. Pour en savoir plus sur la correction de l'erreur unable to get local issuer certificate. to:
On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui explique l'alerte unable to get local issuer certificate Changed lines 522-523 from:
Le chiffrement par clef symétrique est aujourd'hui le seul moyen efficace protéger les données. [ la suite ] to:
Le chiffrement par clef symétrique est aujourd'hui le seul moyen performant pour la protection des données. [ la suite ] Changed line 527 from:
Le but est ici d'obtenir un chiffrement (ou cryptage) avec un certificat. Le fichier chiffré ne pourra être décodé qu'avec la clef privée du certificat utilisé pour le chiffrement.\\ to:
Le but est ici de rendre illisible le contenu d'un fichier par un algorythme à sens unique dont la spécificité est de permettre à tout le monde le chiffrement de ces données tout en ne permettant le déchiffrement qu'au seul destinatataire.\\ January 16, 2009, at 08:46 AM
by - ajout check selg signed
Added lines 344-354:
Le certificat est-il autosigné ?
Changed lines 2-4 from:
(:description Procédures de génération de certificats et cas utilisation d'OpenSSL :) to:
(:description exemples d'utilisations d'openssl :) (:Summary: lignes de commandes openssl:) (:title openssl:) Deleted line 33:
Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\ Changed line 196 from:
to:
Changed line 209 from:
to:
Changed lines 227-228 from:
to:
Changed lines 234-235 from:
to:
Changed line 241 from:
to:
Changed line 253 from:
x509 -text -noout -in google.crt\\ to:
openssl x509 -text -noout -in google.crt\\ Changed line 305 from:
x509 -subject -noout -in google.crt\\ to:
openssl x509 -subject -noout -in google.crt\\ Changed line 312 from:
x509 -serial -noout -in google.crt\\ to:
openssl x509 -serial -noout -in google.crt\\ Changed line 318 from:
x509 -issuer -noout -in google.crt\\ to:
openssl x509 -issuer -noout -in google.crt\\ Changed line 324 from:
x509 -startdate -noout -in google.crt\\ to:
openssl x509 -startdate -noout -in google.crt\\ Changed line 334 from:
to:
Changed line 340 from:
to:
Changed line 356 from:
s_client -connect www.google.fr:443\\ to:
openssl s_client -connect www.google.fr:443\\ Changed line 438 from:
to:
Changed line 450 from:
to:
Changed lines 468-469 from:
to:
Changed lines 472-476 from:
Création de la clef publique à partir du certificat
to:
Extraction de la clef publique contenue dans le certificat
Changed line 484 from:
to:
Changed line 494 from:
to:
Changed line 499 from:
to:
Changed line 518 from:
rsa -in client_pvk.pem -inform PEM -text\\ to:
openssl rsa -in client_pvk.pem -inform PEM -text\\ Changed line 541 from:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw\\ to:
openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw\\ Changed line 558 from:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc to:
openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc Changed line 572 from:
rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt\\ to:
openssl rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt\\ Changed line 583 from:
OpenSSL> speed aes-128-cbc rsa1024\\ to:
openssl speed aes-128-cbc rsa1024\\ Changed line 619 from:
C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48\\ to:
openssl rand -out pass.txt -base64 48\\ Changed line 628 from:
C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p\\ to:
openssl enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p\\ Changed line 638 from:
C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc\\ to:
openssl rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc\\ Changed line 653 from:
C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt\\ to:
openssl rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt\\ Changed line 659 from:
C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc to:
openssl enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc June 17, 2008, at 04:29 PM
by - ajout du format PFX
Added lines 94-95:
Changed lines 208-210 from:
Convertion du certificat PEM en X509 pour Microsoft
to:
Convertion du certificat pour importation sous IIS6
Added lines 217-218:
Il est à noter pour les utilisateurs sous Windows que le Platform SDK Redistributable: CAPICOM contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows. Added lines 220-221:
Changed line 18 from:
to:
Changed line 667 from:
to:
9. Structure binaire des certificatsAdded line 661:
\\ Deleted lines 663-664:
9. Format binaire des certificatsDeleted line 664:
Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ] Added lines 666-667:
9. Format binaire des certificatsAdded line 669:
Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ] Added lines 671-672:
Changed line 17 from:
to:
Added line 17:
Changed lines 660-661 from:
8. Format binaire des certificatsto:
Added lines 663-665:
9. Format binaire des certificats\\ Changed line 529 from:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\ Changed line 533 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef. to:
Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes. Changed line 550 from:
Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera to:
Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera Changed line 552 from:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw to:
rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc Changed line 606 from:
8. Format binaire des certificatsto:
Exemple de chiffrement d'un fichierChanged lines 608-615 from:
Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ] to:
Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires. C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48 Added line 617:
Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\ Added lines 619-626:
Chiffrons le fichier archive.rar. C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p Added lines 628-664:
Chiffrons la clef de déchiffrement. C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer. Procédure de déchiffrement
C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc Le fichier archive.rar est maintenant lisible. 8. Format binaire des certificats
Added line 17:
Changed lines 603-611 from:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. 8. Format binaire des certificats
Changed line 355 from:
--- to:
---\\ Changed lines 361-363 from:
--- Server certificate BEGIN CERTIFICATE----- to:
--- Changed lines 426-428 from:
Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate. to:
Pour en savoir plus sur la correction de l'erreur unable to get local issuer certificate. Changed line 523 from:
La probabilité qu'une de ces mêmes personnes ne gagne à l'euromillion LE MEME JOUR est de 2^46\\ to:
La probabilité qu'une de ces mêmes personnes gagne à l'euromillion LE MEME JOUR n'est que de 2^46\\ Changed line 532 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc est exactement celle de la clef. to:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef. Changed line 21 from:
Un setup d'installation est disponible ici.\\ to:
Un setup d'installation d'OpenSSL pour Windows est disponible ici.\\ Changed line 46 from:
to:
Changed line 100 from:
to:
Changed lines 46-48 from:
to:
Changed lines 60-61 from:
to:
Changed lines 85-86 from:
to:
Changed lines 100-101 from:
to:
Changed lines 112-114 from:
to:
Changed lines 140-141 from:
to:
openssl ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem Validity Not Before: Aug 26 14:56:09 2007 GMT Not After : Aug 25 14:56:09 2008 GMT Subject: countryName = FR stateOrProvinceName = Some-State organizationName = Internet Widgits Pty Ltd commonName = TEST X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 26:A6:C6:16:CF:2A:5B:D5:9D:FF:2C:48:60:B6:E0:E3:A6:3B:28:88 X509v3 Authority Key Identifier: keyid:68:0D:3F:8A:D3:D7:11:35:EA:AC:C3:28:6C:78:92:04:36:EA:A3:2F Certificate is to be certified until Aug 25 14:56:09 2008 GMT (365 days) 1 out of 1 certificate requests certified, commit? [y/n]y↵ Changed lines 253-254 from:
to:
Added line 256:
Added lines 342-347:
Génération d'un mot de passe aléatoire
Added lines 38-40:
Changed lines 43-45 from:
to:
Création de la clef privée de la CAChanged lines 49-52 from:
Autosignature de la nouvelle autorité racineto:
Autogénération du certificat de la nouvelle autorité racineChanged lines 68-69 from:
to:
2. Création d'un certificat client
Added line 85:
Changed lines 7-10 from:
to:
Changed line 9 from:
to:
Table des matièresAdded line 21:
Un setup d'installation est disponible ici.\\ Changed lines 23-25 from:
to:
Deleted lines 5-6:
Un setup d'installation est disponible ici.\\ Deleted lines 6-10:
Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.
Deleted line 7:
Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\ Added lines 9-21:
Un setup d'installation est disponible ici. Changed lines 24-25 from:
1. Création d'une autorité racine (Certificat Autority)to:
1. Création d'une autorité racine (Certificat Autority)Changed lines 64-65 from:
2. Création d'un certificatto:
2. Création d'un certificatChanged lines 121-123 from:
3. Commandes utilesto:
Changed lines 245-246 from:
4. Diversto:
Changed lines 335-336 from:
5. Signature de fichiersto:
Changed line 397 from:
6. Chiffrement par clef symétriqueto:
Changed lines 400-402 from:
7. Chiffrement par clef asymétriqueLe but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ to:
Added lines 402-404:
Le but est ici d'obtenir un chiffrement (ou cryptage) avec un certificat. Le fichier chiffré ne pourra être décodé qu'avec la clef privée du certificat utilisé pour le chiffrement. Changed line 1 from:
(:keywords openssl, enc, aes, chiffrement, symétrique, certificats, windows :) to:
(:keywords openssl, windows, compilation, installation, setup, enc, aes, chiffrement, symétrique, certificats, windows :) Changed lines 1-3 from:
(:keywords openssl, enc, aes, chiffrement, symétrique :) to:
(:keywords openssl, enc, aes, chiffrement, symétrique, certificats, windows :) (:description Procédures de génération de certificats et cas utilisation d'OpenSSL :) Changed lines 5-9 from:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL pour gérer les certificats.\\ to:
Un setup d'installation est disponible ici.\\ Added lines 7-11:
Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.
Changed line 13 from:
Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe\\ to:
Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\ Changed lines 16-17 from:
to:
Changed line 31 from:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la création des certificats clients.\\ to:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la signature des certificats des clients.\\ Changed line 40 from:
Il s'agit d'une simple convertion d'un format Base64 en son équivalent binaire to:
Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire Changed line 229 from:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS est possible avec OpenSSL. \\ to:
Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. \\ Changed lines 479-488 from:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Changed line 1 from:
(:keywords openssl, windows, x509, PEM, certificat,IIS :) to:
(:keywords openssl, enc, aes, chiffrement, symétrique :) Changed lines 375-376 from:
6. Chiffrement par clef asymétriqueto:
6. Chiffrement par clef symétriqueLe chiffrement par clef symétrique est aujourd'hui le seul moyen efficace protéger les données. [ la suite ] 7. Chiffrement par clef asymétriqueChanged lines 445-447 from:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques.\\ to:
Utilisation du chiffrement asymétriqueDans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est cette clef symétrique protégée par le chiffrement asymétrique qui est envoyée avec les données sécurisées au destinataire. Cette méthode accélére grandement le processus de chiffrage car ce travail sur les clefs asymétriques est environ 500 fois plus couteux que le même travail sur des clefs symétriques.\\ Changed lines 307-308 from:
On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. to:
On remarquera que le CN du certificat utilisé par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui provoque une alerte alors de l'accès à l'URL https://www.google.fr avec un navigateur. Changed lines 132-178 from:
Certificate: to:
Certificate: Data: Version: 3 (0x2) Serial Number: 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43 Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA Validity Not Before: May 15 23:18:11 2006 GMT Not After : May 15 23:18:11 2007 GMT Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46: be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9: 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56: e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba: e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c: f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2: 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94: 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3: 8d:fe:54:a8:fe:d3:97:8f:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto X509v3 CRL Distribution Points: URI:http://crl.thawte.com/ThawteSGCCA.crl Authority Information Access: OCSP - URI:http://ocsp.thawte.com CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt X509v3 Basic Constraints: critical CA:FALSE Signature Algorithm: md5WithRSAEncryption 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b: 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af: 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24: c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b: 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00: c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03: bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59: 68:81 Added line 230:
Changed lines 238-246 from:
--- to:
--- Certificate chain 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority --- Server certificate BEGIN CERTIFICATE----- Changed lines 276-285 from:
SSL-Session: to:
SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: D596685E782544409A2AAA0209CB1DC93C9136FA7BD704E9F6E2CF9034F5ED3A Session-ID-ctx: Master-Key: DD3B0CDF8BCC32ECFB9AF7B97AB46CCF2D731E929B0048444D62EA45486774E74F23FF950F3BBBE0992AFED425413FBA Key-Arg : None Start Time: 1169126487 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) Changed lines 132-178 from:
Certificate: Data: Version: 3 (0x2) Serial Number: 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43 Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA Validity Not Before: May 15 23:18:11 2006 GMT Not After : May 15 23:18:11 2007 GMT Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46: be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9: 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56: e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba: e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c: f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2: 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94: 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3: 8d:fe:54:a8:fe:d3:97:8f:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto X509v3 CRL Distribution Points: URI:http://crl.thawte.com/ThawteSGCCA.crl Authority Information Access: OCSP - URI:http://ocsp.thawte.com CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt X509v3 Basic Constraints: critical CA:FALSE Signature Algorithm: md5WithRSAEncryption 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b: 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af: 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24: c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b: 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00: c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03: bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59: 68:81 to:
Certificate: Changed lines 2-6 from:
http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif to:
http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif Changed line 1 from:
(:keywords openssl, windows, x509, PEM, certificat:) to:
(:keywords openssl, windows, x509, PEM, certificat,IIS :) Added lines 76-86:
Convertion de la clef privée au format pour IIS
La transformation au format binaire de la clef privée est nécessaire pour l'insérer dans le gestionnaire de clefs de IIS. Added lines 88-96:
Convertion du certificat PEM en X509 pour Microsoft
Changed lines 98-99 from:
to:
Changed lines 109-116 from:
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS. to:
Retirer la passphrase de la clef privée
Deleted lines 115-128:
Convertion du certificat PEM en X509 pour IIS
Retirer la passphrase de la clef privée
Changed lines 467-476 from:
Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Added lines 1-5:
http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif Changed lines 451-455 from:
available timing options: TIMEB HZ=1000 to:
available timing options: TIMEB HZ=1000 Changed line 458 from:
rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 to:
rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 Changed line 386 from:
Remarquons au passage que les dernières estimations de l'age de l'univers sont de 2^59 secondes (15x10^9 années)... \\ to:
Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\ Changed line 389 from:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\ to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ Changed lines 431-439 from:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire. to:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques. OpenSSL> speed aes-128-cbc rsa1024 sign verify sign/s verify/s rsa 1024 bits 0.011421s 0.000544s 87.6 1838.3 Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC. Changed lines 10-12 from:
Création de l’autorité racineto:
1. Création d'une autorité racine (Certificat Autority)Cette autorité personnelle devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque de l'utilisation des certificats générés. Changed lines 16-19 from:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque les certificats délivrés seront utilisés.
to:
Changed lines 23-26 from:
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients to:
CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la création des certificats clients. Changed lines 27-28 from:
to:
Changed lines 34-38 from:
to:
2. Création d'un certificatChanged lines 50-51 from:
to:
Changed lines 73-75 from:
to:
3. Commandes utilesChanged lines 214-215 from:
Se connecter à un serveur HTTPS manuellementSi pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL. \\ to:
4. DiversConnexion manuelle à un serveur HTTPSSi pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS est possible avec OpenSSL. \\ Added lines 303-304:
5. Signature de fichiersChanged lines 312-313 from:
Nous obtenons alors un fichier ayant ce format : to:
Nous obtenons alors un fichier contenant ceci : Changed lines 364-365 from:
Le chiffrement par clef asymétriqueto:
6. Chiffrement par clef asymétriqueChanged lines 3-4 from:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL. to:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL pour gérer les certificats.\\ Changed lines 6-9 from:
to:
Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe Changed line 339 from:
Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\ to:
Nous en concluons que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\ Changed line 13 from:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque les certificats délivrés seront utilisés. Changed lines 24-25 from:
Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL. to:
Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL. Added line 32:
Changed lines 55-67 from:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. to:
Si vous obtenez ce message : Le certificat est créé. Changed lines 72-75 from:
Transformation au format Microsoft
to:
Révocation d'un certificat
Changed lines 78-88 from:
Création du Certificat Signing Request (CSR) clienton commence par créer une clef privée
puis à partir de cette clef privée nous générons la CSR
to:
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS. Changed lines 88-109 from:
Signature de la requête CSRMaintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR
Si vous obtenez ce message : Révocation d'un certificat
to:
Convertion du certificat PEM en X509 pour IIS
Changed lines 95-102 from:
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS. to:
Retirer la passphrase de la clef privée
Deleted lines 101-114:
Convertion du certificat PEM en X509 pour IIS
Retirer la passphrase de la clef privée
Changed lines 57-67 from:
Autosignature de la nouvelle autorité racine
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients to:
Changed line 252 from:
verify error:num=20:unable to get local issuer certificate\\ to:
verify error:num=20:unable to get local issuer certificate\\ Changed line 301 from:
Verify return code: 20 (unable to get local issuer certificate)\\ to:
Verify return code: 20 (unable to get local issuer certificate)\\ Changed lines 325-327 from:
Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate. to:
Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate. Added lines 384-385:
Added lines 388-391:
Le chiffrement par clef asymétriqueLe but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\ Deleted lines 392-396:
Le chiffrement par clefs asymétriquesLe but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée. Added line 418:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc est exactement celle de la clef. Deleted line 434:
Changed lines 447-449 from:
déchiffrer un bloc de donnéesLa déchiffrement se fait avec la clef privée du certificat, la padding doit être indiqué et biensûr ne peut être deviné ! to:
Déchiffrer un bloc de données cryptéesLa déchiffrement se fait uniquement avec la clef privée du certificat, le type de padding doit être indiqué et biensûr ne peut être deviné ! Changed line 452 from:
to:
Changed line 413 from:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit de 128 caractéres (1024/8) moins le padding.\\ to:
Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\ Changed line 416 from:
Chiffrer 128 caractéres avec un certificat 1024 bitsto:
Chiffrer 128 octets de données avec un certificat 1024 bitsChanged lines 428-433 from:
si le fichier a crypter est d'une taille supérieure à la clef Chiffrer 128 caractéres (ou moins) avec un certificatto:
si le fichier à crypter est d'une taille supérieure à la clef Chiffrer 128 octets de données (ou moins) avec un certificatChanged lines 453-463 from:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée au destinataire. to:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire. Changed line 407 from:
Par an, en France, entre 10 et 30 personnes meurrent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ to:
Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ Changed line 31 from:
to:
Il s'agit d'une simple convertion d'un format Base64 en son équivalent binaire Changed lines 383-463 from:
to:
Le chiffrement par clefs asymétriquesLe but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée. rsa -in client_pvk.pem -inform PEM -text 1024 bits, est-ce une taille acceptable pour le chiffrement de mes données ? Chiffrer 128 caractéres avec un certificat 1024 bitsrsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw On obtient une erreur Chiffrer 128 caractéres (ou moins) avec un certificatPour un bloc de données de taille inférieure à la clef, la commande à utiliser sera rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw Sans paramètre, le padding sera PKCS#1 v1.5, les tailles de données cryptables en fonction des padding sont les suivantes : déchiffrer un bloc de donnéesLa déchiffrement se fait avec la clef privée du certificat, la padding doit être indiqué et biensûr ne peut être deviné ! rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée au destinataire. Changed line 97 from:
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ to:
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ Added lines 135-145:
Changer la passphrase de la clef privée
Changed lines 53-59 from:
Si vous obtenez ce message : to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. Deleted lines 54-59:
Révocation d'un certificat
Changed lines 57-64 from:
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS. to:
Autosignature de la nouvelle autorité racine
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients Deleted lines 65-70:
Convertion du certificat PEM en X509 pour IIS
Changed lines 68-72 from:
Retirer la passphrase de la clef privée
to:
Transformation au format Microsoft
Added lines 74-134:
Création du Certificat Signing Request (CSR) clienton commence par créer une clef privée
puis à partir de cette clef privée nous générons la CSR
Signature de la requête CSRMaintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR
Si vous obtenez ce message : Révocation d'un certificat
Transformation au format binaire de la clef privée
Cette manipulation est nécessaire pour IIS.
Convertion du certificat PEM en X509 pour IIS
Retirer la passphrase de la clef privée
Changed lines 175-176 from:
to:
Deleted line 177:
Added lines 181-187:
Validation du rôle du certificat
Changed lines 265-269 from:
On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. to:
On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate. Changed lines 302-303 from:
La clef publique étant générable par n'importe qui il ne sera pas nécessaire de la fournir avec le fichier de signature to:
La clef publique étant extraite du certificat, il ne sera pas nécessaire de la fournir avec le fichier de signature Added lines 145-148:
Identité du propriétaireDeleted lines 150-155:
x509 -serial -noout -in google.crt x509 -issuer -noout -in google.crt Changed lines 153-155 from:
to:
Numéro de série du certificatNécessaire à la CRL ('certification revocation list) x509 -serial -noout -in google.crt Identification de l'émetteur du certificatx509 -issuer -noout -in google.crt Date de début de validité du certificatx509 -startdate -noout -in google.crt Deleted lines 184-190:
Date de début de validité du certificat
Changed line 23 from:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats. to:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Changed lines 93-97 from:
Extraction du texte d'un certificat
to:
Extraction des informations d'un certificatx509 -text -noout -in google.crt Data: Version: 3 (0x2) Serial Number: 4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43 Signature Algorithm: md5WithRSAEncryption Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA Validity Not Before: May 15 23:18:11 2006 GMT Not After : May 15 23:18:11 2007 GMT Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46: be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9: 76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56: e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba: e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c: f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2: 6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94: 21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3: 8d:fe:54:a8:fe:d3:97:8f:cb Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto X509v3 CRL Distribution Points: URI:http://crl.thawte.com/ThawteSGCCA.crl Authority Information Access: OCSP - URI:http://ocsp.thawte.com CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt X509v3 Basic Constraints: critical CA:FALSE Signature Algorithm: md5WithRSAEncryption 57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b: 70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af: 4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24: c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b: 10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00: c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03: bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59: 68:81 x509 -subject -noout -in google.crt x509 -serial -noout -in google.crt x509 -issuer -noout -in google.crt Changed lines 164-165 from:
to:
Changed lines 179-232 from:
to:
s_client -connect www.google.fr:443 Changed lines 237-243 from:
to:
HTTP/1.0 302 Found Changed lines 245-253 from:
to:
<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8"> Changed lines 315-318 from:
to:
Changed lines 205-212 from:
Nous obtenons alors un fichier ayant ce format : A noter que le format hex n'est pas supporté par la méthode verify, la signature doit être au format binaire. to:
Nous obtenons alors un fichier ayant ce format :
A noter que le format hex n'est pas supporté par la méthode verify, la signature devra être au format binaire. Changed lines 1-2 from:
to:
Changed lines 11-12 from:
to:
Changed lines 20-21 from:
to:
Changed lines 30-31 from:
to:
Changed lines 38-39 from:
to:
Changed lines 43-44 from:
to:
Changed lines 51-52 from:
to:
Changed lines 65-66 from:
to:
Changed lines 72-73 from:
to:
Changed lines 82-83 from:
to:
Changed lines 89-90 from:
to:
Changed lines 96-97 from:
to:
Changed line 103 from:
to:
Changed line 110 from:
to:
Deleted line 150:
\\ Changed line 201 from:
to:
Changed lines 218-219 from:
to:
Changed lines 225-226 from:
to:
Changed line 234 from:
to:
Changed lines 244-246 from:
to:
Changed lines 249-250 from:
to:
Changed lines 5-9 from:
Création de l’autorité racine to:
Création de l’autorité racineChanged lines 14-17 from:
Autosignature de la nouvelle autorité racine to:
Autosignature de la nouvelle autorité racineChanged lines 25-29 from:
Transformation au format Microsoft to:
Transformation au format MicrosoftChanged lines 32-34 from:
Création du Certificat Signing Request (CSR) client\\ to:
Création du Certificat Signing Request (CSR) clientChanged lines 45-49 from:
Signature de la requête CSR to:
Signature de la requête CSRMaintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR Changed lines 59-61 from:
Révocation d'un certificat to:
Révocation d'un certificatChanged lines 67-69 from:
Transformation au format binaire de la clef privée to:
Transformation au format binaire de la clef privéeChanged lines 77-79 from:
Convertion du certificat PEM en X509 pour IIS to:
Convertion du certificat PEM en X509 pour IISChanged lines 84-86 from:
Retirer la passphrase de la clef privée to:
Retirer la passphrase de la clef privéeChanged lines 91-93 from:
Extraction du texte d'un certificat to:
Extraction du texte d'un certificatChanged lines 98-102 from:
Validation de la CA émettrice du certificat to:
Validation de la CA émettrice du certificatChanged lines 106-109 from:
Date de début de validité du certificat to:
Date de début de validité du certificatChanged lines 113-116 from:
Signature au format hexadécimale d'un fichier avec un certificat to:
Se connecter à un serveur HTTPS manuellementSi pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL.
On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur.
Signature au format hexadécimale d'un fichier avec un certificatChanged lines 214-217 from:
Signature au format binaire d'un fichier avec un certificat to:
Signature au format binaire d'un fichier avec un certificatChanged lines 221-224 from:
Création de la clef publique à partir du certificat to:
Création de la clef publique à partir du certificatChanged lines 230-232 from:
Vérification de la concordance fichier / clef publique to:
Vérification de la concordance fichier / clef publiqueChanged lines 240-241 from:
to:
Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis. L'identité de son propriétaire
L'identité de l'émetteur du certificat
Changed lines 74-75 from:
to:
Changed lines 3-5 from:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL. to:
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL. Changed lines 47-49 from:
failed to update database to:
Changed lines 115-118 from:
@@ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ to:
Changed lines 1-4 from:
(:if ! match -comments$ :) Comments (:if:) set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf\\ to:
Changed lines 6-7 from:
Création de l’autorité racine to:
Création de l’autorité racine
Changed lines 13-14 from:
Autosignature de la nouvelle autorité racine to:
Autosignature de la nouvelle autorité racine
Changed lines 23-25 from:
Transformation au format Microsoft to:
Transformation au format Microsoft
Changed lines 29-34 from:
on commence par créer une clef privée to:
on commence par créer une clef privée
puis à partir de cette clef privée nous générons la CSR
Changed lines 41-43 from:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR to:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR
Si vous obtenez ce message :\\ Changed lines 50-54 from:
You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). Transformation au format binaire de la clef privée to:
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant. Révocation d'un certificat
Transformation au format binaire de la clef privée
Changed lines 65-88 from:
Convertion du certificat PEM en X509 pour IIS Retirer la passphrase de la clef privée Extraction du texte d'un certificat Validation de la CA émettrice du certificat Date de début de validité du certificat Signature d'un fichier avec un certificat to:
Convertion du certificat PEM en X509 pour IIS
Retirer la passphrase de la clef privée
Extraction du texte d'un certificat
Validation de la CA émettrice du certificat
Date de début de validité du certificat
Signature au format hexadécimale d'un fichier avec un certificat
Changed lines 107-113 from:
A noter que le format hex n'est pas supporté par la méthode verify donc pour permettre la validation
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera celle-ci : Création de la clef publique à partir du certificat to:
A noter que le format hex n'est pas supporté par la méthode verify, la signature doit être au format binaire. Signature au format binaire d'un fichier avec un certificat @@ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@ Création de la clef publique à partir du certificat
Changed lines 126-133 from:
Vérification de la concordance fichier / clef publique to:
Vérification de la concordance fichier / clef publique
vous obtenez un unable to load key file si vous utilisez un certificat au lieu d'une clef publique Changed line 8 from:
création de l’autorité racine\\ to:
Création de l’autorité racine\\ Changed line 12 from:
autosignature de la nouvelle autorité racine\\ to:
Autosignature de la nouvelle autorité racine\\ Changed line 19 from:
transformation au format Microsoft\\ to:
Transformation au format Microsoft\\ Changed line 22 from:
création du Certificat Signing Request (CSR) client\\ to:
Création du Certificat Signing Request (CSR) client\\ Changed line 39 from:
transformation au format binaire de la clef privée\\ to:
Transformation au format binaire de la clef privée\\ Changed line 44 from:
convertion du certificat PEM en X509 pour IIS\\ to:
Convertion du certificat PEM en X509 pour IIS\\ Changed line 47 from:
retirer la passphrase de la clef privée\\ to:
Retirer la passphrase de la clef privée\\ Changed line 50 from:
extraction du texte d'un certificat\\ to:
Extraction du texte d'un certificat\\ Changed line 55 from:
validation de la CA émettrice du certificat\\ to:
Validation de la CA émettrice du certificat\\ Changed line 60 from:
date de début de validité du certificat\\ to:
Date de début de validité du certificat\\ Changed line 65 from:
signature d'un fichier avec un certificat\\ to:
Signature d'un fichier avec un certificat\\ Changed line 77 from:
création de la clef publique à partir du certificat\\ to:
Création de la clef publique à partir du certificat\\ Changed line 81 from:
vérification de la concordance fichier / clef publique\\ to:
Vérification de la concordance fichier / clef publique\\ Changed lines 4-6 from:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf Création de l’autorité racine\\ to:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf création de l’autorité racine\\ Changed lines 10-19 from:
Autosignature du CA CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients retirer la passphrase de la clef privée to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats autosignature de la nouvelle autorité racine Changed lines 22-23 from:
Création du Certificat Signing Request (CSR) client\\ to:
création du Certificat Signing Request (CSR) client Added line 25:
puis à partir de cette clef privée nous générons la CSR\\ Changed lines 28-31 from:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. to:
Changed lines 30-31 from:
ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem to:
Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR Deleted line 35:
Changed line 39 from:
pour IIS transformation au format binaire de la clef privée\\ to:
transformation au format binaire de la clef privée\\ Changed lines 41-43 from:
suppression de l'entête texte du certificat client et importation de la to:
Cette manipulation est nécessaire pour IIS. Changed lines 47-49 from:
to:
retirer la passphrase de la clef privée Changed line 55 from:
validation de l'émetteur du certificat\\ to:
validation de la CA émettrice du certificat\\ Changed line 71 from:
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera donc celle-ci :\\ to:
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera celle-ci :\\ Changed lines 76-77 from:
x509 -in client_crt.pem -pubkey > client_pub.pem to:
x509 -in client_crt.pem -pubkey -noout > client_pub.pem Changed lines 83-86 from:
vous obtenez un unable to load key file si vous utiliser le certificat au lieu de la clef publique to:
vous obtenez un unable to load key file si vous utilisez un certificat au lieu d'une clef publique Added line 66:
Nous obtenons alors un fichier ayant ce format :\\ Changed lines 70-71 from:
to:
A noter que le format hex n'est pas supporté par la méthode verify donc pour permettre la validation
de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera donc celle-ci : Changed lines 78-85 from:
vérification de la concordance fichier / signature to:
vérification de la concordance fichier / clef publique Changed line 44 from:
Convertion du certificat PEM en X509 pour IIS\\ to:
convertion du certificat PEM en X509 pour IIS\\ Changed lines 52-55 from:
création de la clef publique à partir du certificat to:
Changed lines 55-57 from:
c:\temp2\cert\client_crt.pem: OK to:
c:\client_crt.pem: OK Changed lines 66-70 from:
SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264e to:
SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264 création de la clef publique à partir du certificat Changed lines 76-81 from:
dgst -sha1 -verify client_crt.pem -signature test.sha1 C:\archive.zip to:
dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip Changed lines 15-17 from:
to:
retirer la passphrase de la clef privée Changed lines 67-81 from:
dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41 vérification de la signature retirer la passphrase de la clef privée to:
dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip vérification de la concordance fichier / signature Changed lines 49-55 from:
verify -CAfile CA1_crt.pem client_crt.pem\\ to:
création de la clef publique à partir du certificat validation de l'émetteur du certificat Changed lines 59-64 from:
génération de la signature création de la clef publique à partir du certificat to:
date de début de validité du certificat signature d'un fichier avec un certificat Changed lines 42-44 from:
Transformation du certificat PEM en X509 pour IIS to:
Convertion du certificat PEM en X509 pour IIS Added lines 64-65:
Changed lines 13-16 from:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) client\\ to:
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats transformation au format Microsoft Création du Certificat Signing Request (CSR) client\\ Changed line 27 from:
Signature de la requête CSR\\ to:
Signature de la requête CSR\\ Changed line 37 from:
pour IIS transformation au format binaire de la clef privée \\ to:
pour IIS transformation au format binaire de la clef privée\\ Changed lines 42-45 from:
extraction du texte d'un certificat\\ to:
Transformation du certificat PEM en X509 pour IIS extraction du texte d'un certificat\\ Changed line 48 from:
verify -CAfile CA1_crt.pem client_crt.pem\\ to:
verify -CAfile CA1_crt.pem client_crt.pem\\ Changed line 52 from:
génération de la signature to:
génération de la signature\\ Changed line 55 from:
création de la clef publique à partir du certificat to:
création de la clef publique à partir du certificat\\ Changed line 58 from:
vérification de la signature to:
vérification de la signature\\ Changed lines 61-64 from:
retirer la passphrase de la clef privée to:
retirer la passphrase de la clef privée\\ Added lines 54-59:
retirer la passphrase de la clef privée openssl rsa --in client_pvk.pem --out client_unpvk.pem Changed lines 13-14 from:
Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 to:
Création du Certificat Signing Request (CSR) client Changed lines 17-21 from:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR to:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. Signature de la requête CSR\\ Changed lines 24-28 from:
failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). to:
failed to update database Changed lines 31-33 from:
pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la to:
pour IIS transformation au format binaire de la clef privée Changed lines 36-42 from:
extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK to:
extraction du texte d'un certificat Deleted lines 0-1:
Changed line 3 from:
Création de l’autorité racine to:
Création de l’autorité racine\\ Changed lines 5-6 from:
Autosignature du CA to:
Autosignature du CA\\ Changed lines 9-12 from:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats to:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients Added lines 1-51:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html |