• Liste d'autorités de confiance

On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui générerait une alerte dans un navigateur web\\

• RSA

set OPENSSL_CONF=C:\openssl-0.9.8h\apps\openssl.cnf

openssl genrsa -aes256 -out CA_pvk.pem 1024\\

openssl genrsa -aes256 -out client_pvk.pem 1024\\

OpenSSL 0.9.8h 11 Oct 2005\\

• S/MIME

Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire

Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\

Révocation d'un certificat

Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. Ci-dessous, un exemple de GET aveugle sur https://www.google.fr :

On remarquera que le CN du certificat retourné par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui explique l'alerte unable to get local issuer certificate

Le chiffrement par clef symétrique est aujourd'hui le seul moyen performant pour la protection des données. [ la suite ]

Le but est ici de rendre illisible le contenu d'un fichier par un algorythme à sens unique dont la spécificité est de permettre à tout le monde le chiffrement de ces données tout en ne permettant le déchiffrement qu'au seul destinatataire.\\

Le certificat est-il autosigné ?

openssl verify -CAfile google.crt google.crt
google.crt: /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
error 20 at 0 depth lookup:unable to get local issuer certificate

openssl verify -CAfile "Verisignroot.cer" "Verisign root.cer"
Verisign root.cer: OK

(:description exemples d'utilisations d'openssl :) (:Summary: lignes de commandes openssl:) (:title openssl:)

openssl rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net\\

openssl pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"\\

openssl ca -revoke client_crt.pem

openssl rsa -in client_pvk.pem -out client_unpvk.pem

openssl rsa -der -in client_pvk.pem -out client_unpvk.pem\\

openssl x509 -text -noout -in google.crt\\

openssl x509 -subject -noout -in google.crt\\

openssl x509 -serial -noout -in google.crt\\

openssl x509 -issuer -noout -in google.crt\\

openssl x509 -startdate -noout -in google.crt\\

openssl verify -CAfile CA1_crt.pem client_crt.pem\\

openssl verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem\\

openssl s_client -connect www.google.fr:443\\

openssl rand 15 -base64\\

openssl dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip\\

openssl dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip

Extraction de la clef publique contenue dans le certificat

openssl x509 -in client_crt.pem -pubkey -noout > client_pub.pem

openssl dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip\\

openssl x509 -in pubcert2.pem -noout -subject\\

openssl x509 -in pubcert2.pem -noout -issuer\\

openssl rsa -in client_pvk.pem -inform PEM -text\\

openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc -raw\\

openssl rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc

openssl rsautl -inkey client_pvk.pem -in test.enc -decrypt -out test.txt\\

openssl speed aes-128-cbc rsa1024\\

openssl rand -out pass.txt -base64 48\\

openssl enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p\\

openssl rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc\\

openssl rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt\\

openssl enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc

Convertion du certificat pour importation sous IIS6

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"\\

Il est à noter pour les utilisateurs sous Windows que le Platform SDK Redistributable: CAPICOM contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows.

• Structure binaire des certificats

9. Structure binaire des certificats

\\

9. Format binaire des certificats

Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

\\

• Format S/MIME

• Format binaire des certificats

8. Format S/MIME

c'est par ici

9. Format binaire des certificats

\\

Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\

Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes.

Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera

rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc

Exemple de chiffrement d'un fichier

Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires.
Après avoir généré les certificats de chaque destinataire, générons une clef symétrique

Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\

Chiffrons le fichier archive.rar.

Chiffrons la clef de déchiffrement.

Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer.
La clef de déchiffrement est maintenant irrémédiablement cryptée avec la clef publique du certificat du destinataire (client1_crt.pem).

Le destinataire recevra ces fichiers :
- archive.rar.enc
- pass.client1.enc

Procédure de déchiffrement

Le fichier archive.rar est maintenant lisible.

8. Format binaire des certificats

Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

\\

• Format binaire des certificats

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

8. Format binaire des certificats

Un certificat X509 v3 est un fichier binaire dont la structure est définie par la RFC2459... [ la suite ]

\\

---\\

---
Server certificate
-----BEGIN CERTIFICATE-----\\

Pour en savoir plus sur la correction de l'erreur unable to get local issuer certificate.

La probabilité qu'une de ces mêmes personnes gagne à l'euromillion LE MEME JOUR n'est que de 2^46\\

Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc de données est exactement de la taille de la clef.

Un setup d'installation d'OpenSSL pour Windows est disponible ici.\\

openssl genrsa -des3 -out CA_pvk.pem 1024\\

openssl genrsa -des3 -out client_pvk.pem 1024\\

openssl genrsa -des3 -out CA_pvk.pem 1024 Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
...................++++++
...++++++
e is 65537 (0x10001)
Enter pass phrase for CA_pvk.pem:mot de passe↵
Verifying - Enter pass phrase for CA_pvk.pem:mot de passe↵

openssl req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem
Enter pass phrase for CA_pvk.pem:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:↵
State or Province Name (full name) [Some-State]:↵
Locality Name (eg, city) []:↵
Organization Name (eg, company) [Internet Widgits Pty Ltd]:↵
Organizational Unit Name (eg, section) []:↵
Common Name (eg, YOUR name) []:↵
Email Address []:↵

openssl x509 -in CA_crt.pem -outform DER -out CA_crt.der

openssl genrsa -des3 -out client_pvk.pem 1024 Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
....++++++
...........................................................++++++
e is 65537 (0x10001)
Enter pass phrase for client_pvk.pem:↵
Verifying - Enter pass phrase for client_pvk.pem:↵

openssl req -new -key client_pvk.pem -out client_csr.pem
Enter pass phrase for client_pvk.pem:↵
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:↵
State or Province Name (full name) [Some-State]:↵
Locality Name (eg, city) []:↵
Organization Name (eg, company) [Internet Widgits Pty Ltd]:↵
Organizational Unit Name (eg, section) []:↵
Common Name (eg, YOUR name) []:↵
Email Address []:↵

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:↵
An optional company name []:↵

Génération d'un mot de passe aléatoire

rand 15 -base64
Loading 'screen' into random state - done
6TMCLEgKG4JFot/XFETj

Création de la clef privée de la CA

Autogénération du certificat de la nouvelle autorité racine

2. Création d'un certificat client

Table des matières

Un setup d'installation est disponible ici.\\

Un setup d'installation est disponible ici.

Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.
Ce fichier adapté à vos besoins devra être pointé par la variable d'environnement OPENSSL_CONF.

set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf

Les commandes indiquées ci-dessous devront être préfixées par openssl.exe

1. Création d'une autorité racine (Certificat Autority)

2. Création d'un certificat

3. Commandes utiles

4. Divers

5. Signature de fichiers

6. Chiffrement par clef symétrique

7. Chiffrement par clef asymétrique

Le but est ici d'obtenir un chiffrement (ou cryptage) avec un certificat. Le fichier chiffré ne pourra être décodé qu'avec la clef privée du certificat utilisé pour le chiffrement.
\\

(:keywords openssl, windows, compilation, installation, setup, enc, aes, chiffrement, symétrique, certificats, windows :)

(:keywords openssl, enc, aes, chiffrement, symétrique, certificats, windows :) (:description Procédures de génération de certificats et cas utilisation d'OpenSSL :)

Un setup d'installation est disponible ici.\\

Le travail sur les certificats nécessitera le paramètrage du fichier openssl.cnf.
Ce fichier adapté à vos besoins devra être pointé par la variable d'environnement OPENSSL_CONF.

set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf

Les commandes indiquées ci-dessous devront être préfixées par openssl.exe\\

CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la signature des certificats des clients.\\

Il s'agit d'une simple convertion d'un format ascii Base64 en son équivalent binaire

Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS reste possible grâce à OpenSSL. \\

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

(:keywords openssl, enc, aes, chiffrement, symétrique :)

6. Chiffrement par clef symétrique

Le chiffrement par clef symétrique est aujourd'hui le seul moyen efficace protéger les données. [ la suite ]

7. Chiffrement par clef asymétrique

Utilisation du chiffrement asymétrique

Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est cette clef symétrique protégée par le chiffrement asymétrique qui est envoyée avec les données sécurisées au destinataire. Cette méthode accélére grandement le processus de chiffrage car ce travail sur les clefs asymétriques est environ 500 fois plus couteux que le même travail sur des clefs symétriques.\\

On remarquera que le CN du certificat utilisé par le serveur Web de Google (https://www.google.com) ne correspond pas à l'URL accédée ce qui provoque une alerte alors de l'accès à l'URL https://www.google.fr avec un navigateur.

Certificate:

    Data:
        Version: 3 (0x2)
        Serial Number:
            4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
        Validity
            Not Before: May 15 23:18:11 2006 GMT
            Not After : May 15 23:18:11 2007 GMT
        Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46:
                    be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9:
                    76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56:
                    e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba:
                    e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c:
                    f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2:
                    6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94:
                    21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3:
                    8d:fe:54:a8:fe:d3:97:8f:cb
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto
            X509v3 CRL Distribution Points:
                URI:http://crl.thawte.com/ThawteSGCCA.crl

            Authority Information Access:
                OCSP - URI:http://ocsp.thawte.com
                CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt

            X509v3 Basic Constraints: critical
                CA:FALSE
    Signature Algorithm: md5WithRSAEncryption
        57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b:
        70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af:
        4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24:
        c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b:
        10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00:
        c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03:
        bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59:
        68:81

--- Certificate chain

 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
   i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
   i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority

--- Server certificate

SSL-Session:

    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: D596685E782544409A2AAA0209CB1DC93C9136FA7BD704E9F6E2CF9034F5ED3A
    Session-ID-ctx:
    Master-Key: DD3B0CDF8BCC32ECFB9AF7B97AB46CCF2D731E929B0048444D62EA45486774E74F23FF950F3BBBE0992AFED425413FBA
    Key-Arg   : None
    Start Time: 1169126487
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)

Certificate:
Data:
Version: 3 (0x2)
Serial Number:
4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43
Signature Algorithm: md5WithRSAEncryption
Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
Validity
Not Before: May 15 23:18:11 2006 GMT
Not After : May 15 23:18:11 2007 GMT
Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46:
be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9:
76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56:
e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba:
e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c:
f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2:
6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94:
21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3:
8d:fe:54:a8:fe:d3:97:8f:cb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto
X509v3 CRL Distribution Points:
URI:http://crl.thawte.com/ThawteSGCCA.crl

Authority Information Access:
OCSP - URI:http://ocsp.thawte.com
CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt

X509v3 Basic Constraints: critical
CA:FALSE
Signature Algorithm: md5WithRSAEncryption
57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b:
70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af:
4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24:
c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b:
10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00:
c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03:
bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59:
68:81

http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif

(:keywords openssl, windows, x509, PEM, certificat,IIS :)

Convertion de la clef privée au format pour IIS

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net
Enter pass phrase for client_pvk.pem:
writing RSA key
Enter Private Key password:
Verifying - Enter Private Key password:

La transformation au format binaire de la clef privée est nécessaire pour l'insérer dans le gestionnaire de clefs de IIS.
Il reste à supprimer l'entête du certificat client (client_crt.pem ) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.

Convertion du certificat PEM en X509 pour Microsoft

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.p12 -name "Mon certificat SSL personnel"
Loading 'screen' into random state - done
Enter pass phrase for client_pvk.pem:
Enter Export Password:
Verifying - Enter Export Password:

Retirer la passphrase de la clef privée

rsa -in client_pvk.pem -out client_unpvk.pem

Le chiffrement avec une clef asymétrique est 49207/87 = 565 fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.

(:keywords openssl, windows, x509, PEM, certificat:)

http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif

 available timing options: TIMEB HZ=1000
 timing function used: ftime

 The 'numbers' are in 1000s of bytes per second processed.
 type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
 aes-128 cbc      47866.52k    48210.39k    48913.17k    49207.26k    48419.09k

 rsa 1024 bits 0.011421s 0.000544s     87.6   1838.3

Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\

Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\

Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques.
Voici un test de performance :

                  sign    verify    sign/s verify/s

Une clef asymétrique de 1024 bits est 49207/87 = 565 fois moins performante qu'une clef symétrique AES-CBC.

1. Création d'une autorité racine (Certificat Autority)

Cette autorité personnelle devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque de l'utilisation des certificats générés.

CA_pvk.pem est le fichier contenant la clef privée, il sera nécessaire à la création des certificats clients.
CA_crt.pem est le fichier contenant le certificat, il doit être fournit aux clients avec leurs certificats.
Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration openssl.cnf.\\

2. Création d'un certificat

3. Commandes utiles

4. Divers

Connexion manuelle à un serveur HTTPS

Si pour se connecter à une serveur HTTP, une connexion telnet sur le port 80 suffit, se connecter en ligne de commande à un serveur HTTPS est possible avec OpenSSL. \\

5. Signature de fichiers

Nous obtenons alors un fichier contenant ceci :

6. Chiffrement par clef asymétrique

le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL pour gérer les certificats.\\

Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe

Nous en concluons que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\

Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats pour éviter les messages d'alerte concernant une autorité de certification inconnue lorsque les certificats délivrés seront utilisés.

Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL.
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats.

Si vous obtenez ce message :
failed to update database
TXT_DB error number 2
error in ca
Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.

unable to load certificate
260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE
error in ca
La CA passée en paramètre n'est pas au format PEM.

Le certificat est créé.

Révocation d'un certificat

ca -revoke client_crt.pem

Transformation au format binaire de la clef privée

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

Cette manipulation est nécessaire pour IIS.
Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.

Convertion du certificat PEM en X509 pour IIS

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

Retirer la passphrase de la clef privée

rsa -in client_pvk.pem -out client_unpvk.pem

verify error:num=20:unable to get local issuer certificate\\

    Verify return code: 20 (unable to get local issuer certificate)\\

Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate.

Le chiffrement par clef asymétrique

Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.\\

Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème car la taille du bloc est exactement celle de la clef.

Déchiffrer un bloc de données cryptées

La déchiffrement se fait uniquement avec la clef privée du certificat, le type de padding doit être indiqué et biensûr ne peut être deviné !

Enter pass phrase for client_pvk.pem:

Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit 128 octets (1024/8) moins le padding.\\

Chiffrer 128 octets de données avec un certificat 1024 bits

si le fichier à crypter est d'une taille supérieure à la clef

Chiffrer 128 octets de données (ou moins) avec un certificat

Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire.

Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\

Il s'agit d'une simple convertion d'un format Base64 en son équivalent binaire

issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net

Le chiffrement par clefs asymétriques

Le but est ici d'obtenir un chiffrement (ou cryptage) avec le certificat qui ne puisse être décodé qu'avec la clef privée.

S'agissant d'un chiffrement par bloc, la quantité de données chiffrables par la clef est limitée à la taille de la clef moins la taille nécessaire à la déclaration du padding.
La taille de la clef RSA est de 1024 bits, petite vérification :

1024 bits, est-ce une taille acceptable pour le chiffrement de mes données ?
Oui car 2^1024 est un chiffre absolument gigantesque, un exemple pour en caresser l'idée.
Par an, en France, entre 10 et 30 personnes meurrent foudroyées ce qui correspond à une probabilité inverse de 2^21
La probabilité qu'une de ces mêmes personnes ne gagne à l'euromillion LE MEME JOUR est de 2^46
Nous sommes encore bien loin du compte car 46 est largement plus petit que 1024.
Remarquons au passage que les dernières estimations de l'age de l'univers sont de 2^59 secondes (15x10^9 années)...
Maintenant que nous sommes rassurés sur la taille et donc la complexité de notre clef de chiffrement, voyons comment l'utiliser.

Rappellons que la clef privée ne peut chiffrer qu'un bloc de données au maximum égal à la taille de la clef soit de 128 caractéres (1024/8) moins le padding.

Chiffrer 128 caractéres avec un certificat 1024 bits

On obtient une erreur
RSA operation error
816:error:0406B07A:rsa routines:RSA_padding_add_none:data too small for key size:.\crypto\rsa\rsa_none.c:76:
error in rsautl
si le fichier à chiffrer fait moins de 128 caractères car nous avons précisé qu'il ne faut pas utiliser de padding (-raw) et
816:error:0406B06E:rsa routines:RSA_padding_add_none:data too large for key size:.\crypto\rsa\rsa_none.c:70:
si le fichier a crypter est d'une taille supérieure à la clef

Chiffrer 128 caractéres (ou moins) avec un certificat

Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera

Sans paramètre, le padding sera PKCS#1 v1.5, les tailles de données cryptables en fonction des padding sont les suivantes :
http://www.openssl.org/docs/crypto/RSA_public_encrypt.html
- exactement 128 octets si pas de padding (-raw)
- moins de 117 octets pour un padding PKCS #1 v1.5 ou SSL (-pkcs, -ssl)
- moins de 87 octets pour un padding PKCS#1 OAEP (-oaep)

déchiffrer un bloc de données

La déchiffrement se fait avec la clef privée du certificat, la padding doit être indiqué et biensûr ne peut être deviné !

Le numéro de série du certificat est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\

Changer la passphrase de la clef privée

rsa -der -in client_pvk.pem -out client_unpvk.pem
Enter pass phrase for client_pvk.pem:
writing RSA key
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats.

Autosignature de la nouvelle autorité racine

req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.
Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL.

Transformation au format Microsoft

x509 -in CA_crt.pem -outform DER -out CA_crt.der

Création du Certificat Signing Request (CSR) client

on commence par créer une clef privée

genrsa -des3 -out client_pvk.pem 1024

puis à partir de cette clef privée nous générons la CSR

req -new -key client_pvk.pem -out client_csr.pem

Signature de la requête CSR

Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

Si vous obtenez ce message :
failed to update database
TXT_DB error number 2
error in ca
Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.

unable to load certificate
260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE
error in ca
La CA passée en paramètre n'est pas au format PEM.

Révocation d'un certificat

ca -revoke client_crt.pem

Transformation au format binaire de la clef privée

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

Cette manipulation est nécessaire pour IIS.
Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.

Convertion du certificat PEM en X509 pour IIS

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

Retirer la passphrase de la clef privée

rsa -in client_pvk.pem -out client_unpvk.pem

Validation du rôle du certificat

verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem
client_crt.pem: OK

On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur.

Un chapitre d'approfondissement sur la correction de l'erreur unable to get local issuer certificate.

La clef publique étant extraite du certificat, il ne sera pas nécessaire de la fournir avec le fichier de signature

Identité du propriétaire

Numéro de série du certificat

Nécessaire à la CRL ('certification revocation list)

Identification de l'émetteur du certificat

Date de début de validité du certificat

CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\

Extraction des informations d'un certificat

    Data:
        Version: 3 (0x2)
        Serial Number:
            4b:a5:ae:59:de:dd:1c:c7:80:7c:89:22:91:f0:e2:43
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=ZA, O=Thawte Consulting (Pty) Ltd., CN=Thawte SGC CA
        Validity
            Not Before: May 15 23:18:11 2006 GMT
            Not After : May 15 23:18:11 2007 GMT
        Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=www.google.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:e6:c5:c6:8d:cd:0b:a3:03:04:dc:ae:cc:c9:46:
                    be:bd:cc:9d:bc:73:34:48:fe:d3:75:64:d0:c9:c9:
                    76:27:72:0f:a9:96:1a:3b:81:f3:14:f6:ae:90:56:
                    e7:19:d2:73:68:a7:85:a4:ae:ca:24:14:30:00:ba:
                    e8:36:5d:81:73:3a:71:05:8f:b1:af:11:87:da:5c:
                    f1:3e:bf:53:51:84:6f:44:0e:b7:e8:26:d7:2f:b2:
                    6f:f2:f2:5d:df:a7:cf:8c:a5:e9:1e:6f:30:48:94:
                    21:0b:01:ad:ba:0e:71:01:0d:10:ef:bf:ee:2c:d3:
                    8d:fe:54:a8:fe:d3:97:8f:cb
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto
            X509v3 CRL Distribution Points:
                URI:http://crl.thawte.com/ThawteSGCCA.crl

            Authority Information Access:
                OCSP - URI:http://ocsp.thawte.com
                CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt

            X509v3 Basic Constraints: critical
                CA:FALSE
    Signature Algorithm: md5WithRSAEncryption
        57:4b:bc:a4:43:e7:e0:01:92:a0:96:35:f9:18:08:88:1d:7b:
        70:19:8f:f9:36:b2:05:3a:05:ca:14:59:4d:24:0e:e5:8a:af:
        4e:87:5a:f7:1c:2a:96:8f:cb:61:40:9e:d2:b4:38:40:21:24:
        c1:4f:1f:cb:13:4a:8f:95:02:df:91:3d:d6:40:eb:11:6f:9b:
        10:a1:6f:ce:91:5e:30:f6:6d:13:5e:15:a4:2e:c2:18:9e:00:
        c3:d8:32:67:47:fc:b8:1e:9a:d9:9a:8e:cc:ff:7c:12:b7:03:
        bf:52:20:cf:21:f4:f3:77:dd:12:15:f0:94:fa:90:d5:e3:59:
        68:81

client_crt.pem: OK

HTTP/1.0 302 Found
Location: http://www.google.com
Date: Thu, 18 Jan 2007 13:21:21 GMT
Content-Type: text/html
Server: GFE/1.3
Connection: Close
Content-Length: 218\\

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.com">here</A>.
</BODY></HTML>
read:errno=0

issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net

Nous obtenons alors un fichier ayant ce format :

SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264
e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58c
b4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41

A noter que le format hex n'est pas supporté par la méthode verify, la signature devra être au format binaire.

set OPENSSL_CONF=C:\openssl-0.9.8a\apps\openssl.cnf

genrsa -des3 -out CA_pvk.pem 1024

req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

x509 -in CA_crt.pem -outform DER -out CA_crt.der

genrsa -des3 -out client_pvk.pem 1024

req -new -key client_pvk.pem -out client_csr.pem

ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

ca -revoke client_crt.pem

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

rsa -in client_pvk.pem -out client_unpvk.pem

x509 -text -in client_pub.pem

verify -CAfile CA1_crt.pem client_crt.pem\\

x509 -startdate -noout -in client_crt.pem\\

dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip\\

dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip

x509 -in client_crt.pem -pubkey -noout > client_pub.pem

dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip\\

x509 -in pubcert2.pem -noout -subject
subject= /C=FR/ST=FRANCE/O=Le nom du client/OU=Service/CN=www.test.com/emailAddress=monemail@test.com

x509 -in pubcert2.pem -noout -issuer
issuer= /C=FR/ST=France/L=Lille/O=Domain Public Primary Certification autority/OU=www.grandville.net/CN=cdn/emailAddress=nospam_autority@remove_grandville.net

Création de l’autorité racine

Autosignature de la nouvelle autorité racine

Transformation au format Microsoft

Création du Certificat Signing Request (CSR) client

Signature de la requête CSR

Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

Révocation d'un certificat

Transformation au format binaire de la clef privée

Convertion du certificat PEM en X509 pour IIS

Retirer la passphrase de la clef privée

Extraction du texte d'un certificat

Validation de la CA émettrice du certificat

Date de début de validité du certificat

Se connecter à un serveur HTTPS manuellement

Si pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL.
Exemple de GET aveugle sur https://www.google.fr

s_client -connect www.google.fr:443
Loading 'screen' into random state - done
CONNECTED(00000784)
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM
MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg
THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wNjA1MTUyMzE4MTFaFw0w
NzA1MTUyMzE4MTFaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRcw
FQYDVQQDEw53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC
gYEA5sXGjc0LowME3K7MyUa+vcydvHM0SP7TdWTQycl2J3IPqZYaO4HzFPaukFbn
GdJzaKeFpK7KJBQwALroNl2BczpxBY+xrxGH2lzxPr9TUYRvRA636CbXL7Jv8vJd
36fPjKXpHm8wSJQhCwGtug5xAQ0Q77/uLNON/lSo/tOXj8sCAwEAAaOB5zCB5DAo
BgNVHSUEITAfBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEATA2BgNVHR8E
LzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlU0dDQ0EuY3Js
MHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0cDovL29jc3AudGhhd3Rl
LmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv
cnkvVGhhd3RlX1NHQ19DQS5jcnQwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQF
AAOBgQBXS7ykQ+fgAZKgljX5GAiIHXtwGY/5NrIFOgXKFFlNJA7liq9Oh1r3HCqW
j8thQJ7StDhAISTBTx/LE0qPlQLfkT3WQOsRb5sQoW/OkV4w9m0TXhWkLsIYngDD
2DJnR/y4HprZmo7M/3wStwO/UiDPIfTzd90SFfCU+pDV41logQ==

-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
---
No client certificate CA names sent
---
SSL handshake has read 1777 bytes and written 346 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 324A8C64623FD9EACF9F1D501D4FF4EB24C0E4298B753C169EF3BA6F945BA99F
Session-ID-ctx:
Master-Key: 4C6CD25586CCBFB8750BAE881731956110990F22FAFB94AF9E8FC958EC8CB18EE3E2769828959B357972D36AA5B0693F
Key-Arg : None
Start Time: 1166439884
Timeout : 300 (sec)
Verify return code: 20 (unable to get local issuer certificate)
---
GET / HTTP/1.0

HTTP/1.0 302 Found
Location: http://www.google.com
Date: Mon, 18 Dec 2006 11:04:44 GMT
Content-Type: text/html
Server: GFE/1.3
Connection: Close
Content-Length: 218

<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">
<TITLE>302 Moved</TITLE></HEAD><BODY>
<H1>302 Moved</H1>
The document has moved
<A HREF="http://www.google.com">here</A>.
</BODY></HTML>
read:errno=0

On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur.

Signature au format hexadécimale d'un fichier avec un certificat

Signature au format binaire d'un fichier avec un certificat

Création de la clef publique à partir du certificat

Vérification de la concordance fichier / clef publique

Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.
Nous devons maintenant vérifier le contenu du certificat.

L'identité de son propriétaire

x509 -in pubcert2.pem -noout -subject
subject= /C=FR/ST=FRANCE/O=Credit du Nord/OU=DSIP/CN=SEC001PUB001/emailAddress=dsip.ctisuppinternet@cdn.fr

L'identité de l'émetteur du certificat

x509 -in pubcert2.pem -noout -issuer
issuer= /C=FR/ST=France/L=Seclin/O=Credit du Nord/OU=DSIP/CN=cdn/emailAddress=dsip.cticertificatverisign@cdn.fr

openssl rsa -in client_pvk.pem -out client_unpvk.pem

le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL.
Chaque commande indiquée ci-dessous devra être préfixée par openssl.exe

failed to update database
TXT_DB error number 2
error in ca\\

dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip

set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf

Création de l’autorité racine

genrsa -des3 -out CA_pvk.pem 1024

Autosignature de la nouvelle autorité racine

req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

Transformation au format Microsoft

x509 -in CA_crt.pem -outform DER -out CA_crt.der

on commence par créer une clef privée

genrsa -des3 -out client_pvk.pem 1024

puis à partir de cette clef privée nous générons la CSR

req -new -key client_pvk.pem -out client_csr.pem

Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR

ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

Si vous obtenez ce message :\\

Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.

Révocation d'un certificat

ca -revoke client_crt.pem

Transformation au format binaire de la clef privée

rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net

Convertion du certificat PEM en X509 pour IIS

pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

Retirer la passphrase de la clef privée

openssl rsa --in client_pvk.pem --out client_unpvk.pem

Extraction du texte d'un certificat

x509 -text -in client_pub.pem

Validation de la CA émettrice du certificat

verify -CAfile CA1_crt.pem client_crt.pem
c:\client_crt.pem: OK

Date de début de validité du certificat

x509 -startdate -noout -in client_crt.pem
notBefore=Dec 12 09:57:30 2006 GMT

Signature au format hexadécimale d'un fichier avec un certificat

dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip
Enter pass phrase for client_pvk.pem:

A noter que le format hex n'est pas supporté par la méthode verify, la signature doit être au format binaire.

Signature au format binaire d'un fichier avec un certificat

@@ dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip@@

Création de la clef publique à partir du certificat

x509 -in client_crt.pem -pubkey -noout > client_pub.pem

Vérification de la concordance fichier / clef publique

dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip
Verified OK ou Verification Failure

vous obtenez un unable to load key file si vous utilisez un certificat au lieu d'une clef publique

Création de l’autorité racine\\

Autosignature de la nouvelle autorité racine\\

Transformation au format Microsoft\\

Création du Certificat Signing Request (CSR) client\\

Transformation au format binaire de la clef privée\\

Convertion du certificat PEM en X509 pour IIS\\

Retirer la passphrase de la clef privée\\

Extraction du texte d'un certificat\\

Validation de la CA émettrice du certificat\\

Date de début de validité du certificat\\

Signature d'un fichier avec un certificat\\

Création de la clef publique à partir du certificat\\

Vérification de la concordance fichier / clef publique\\

set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf
le fichier openssl.cnf contient les chemins d'accès aux répertoires et le paramétrage par défaut d'OpenSSL.

création de l’autorité racine\\

Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats

autosignature de la nouvelle autorité racine
req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem
CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats. Ces deux fichiers doivent être renseignés dans les variables certificate et private_key du fichier de configuration d'OpenSSL.

création du Certificat Signing Request (CSR) client
on commence par créer une clef privée\\

puis à partir de cette clef privée nous générons la CSR\\

Cette fois ci nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR
ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem
Si vous ontenez ce message :\\

transformation au format binaire de la clef privée\\

Cette manipulation est nécessaire pour IIS.
Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS.

retirer la passphrase de la clef privée
openssl rsa --in client_pvk.pem --out client_unpvk.pem

validation de la CA émettrice du certificat\\

de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera celle-ci :\\

x509 -in client_crt.pem -pubkey -noout > client_pub.pem
La clef publique étant générable par n'importe qui il ne sera pas nécessaire de la fournir avec le fichier de signature

vous obtenez un unable to load key file si vous utilisez un certificat au lieu d'une clef publique

Nous obtenons alors un fichier ayant ce format :\\

A noter que le format hex n'est pas supporté par la méthode verify donc pour permettre la validation de l'intégrité de l'archive et de son émetteur, la commande à utiliser sera donc celle-ci :
dgst -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip

vérification de la concordance fichier / clef publique
dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip
Verified OK ou Verification Failure
vous obtenez un unable to load key file si vous utiliser le certificat au lieu de la clef publique

convertion du certificat PEM en X509 pour IIS\\

c:\client_crt.pem: OK

SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264
e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58c
b4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41

création de la clef publique à partir du certificat
x509 -in client_crt.pem -pubkey > client_pub.pem

dgst -sha1 -verify client_pub.pem -signature test.sha1 C:\archive.zip

retirer la passphrase de la clef privée
openssl rsa --in client_pvk.pem --out client_unpvk.pem

dgst -hex -sha1 -sign client_pvk.pem -out test.sha1 C:\archive.zip
Enter pass phrase for client_pvk.pem:
SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec91eb3ee473d3d3d1dc264e
139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfeb23a0d1bd51af8f500d129146d2a83d58cb
4051f112805beb7519489abd79f75d4878f834005631f5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41

vérification de la concordance fichier / signature
dgst -sha1 -verify client_crt.pem -signature test.sha1 C:\archive.zip

création de la clef publique à partir du certificat
x509 -in client_crt.pem -pubkey > client_pub.pem

validation de l'émetteur du certificat
verify -CAfile CA1_crt.pem client_crt.pem\\

date de début de validité du certificat
x509 -startdate -noout -in client_crt.pem
notBefore=Dec 12 09:57:30 2006 GMT

signature d'un fichier avec un certificat
dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41

Convertion du certificat PEM en X509 pour IIS
pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"

CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

transformation au format Microsoft
x509 -in CA_crt.pem -outform DER -out CA_crt.der

Création du Certificat Signing Request (CSR) client\\

Signature de la requête CSR\\

pour IIS transformation au format binaire de la clef privée\\

Transformation du certificat PEM en X509 pour IIS
openssl x509 -in client_crt.pem -out iisx509.cer

extraction du texte d'un certificat\\

verify -CAfile CA1_crt.pem client_crt.pem\\

génération de la signature\\

création de la clef publique à partir du certificat\\

vérification de la signature\\

retirer la passphrase de la clef privée\\

retirer la passphrase de la clef privée openssl rsa --in client_pvk.pem --out client_unpvk.pem

(:if ! match -comments$ :) Comments

 (:if:)

Création du Certificat Signing Request (CSR) client
genrsa -des3 -out client_pvk.pem 1024\\

le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire.
les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private

Signature de la requête CSR\\

failed to update database
TXT_DB error number 2
error in ca
You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists).\\

pour IIS transformation au format binaire de la clef privée
rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net
suppression de l'entête texte du certificat client et importation de la \\

extraction du texte d'un certificat
x509 -text -in client_pub.pem
verify -CAfile CA1_crt.pem client_crt.pem
c:\temp2\cert\client_crt.pem: OK

Création de l’autorité racine\\

Autosignature du CA\\

CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients
CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf

Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem

CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats

Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem

le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private

Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem

failed to update database TXT_DB error number 2 error in ca

You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem

pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS

extraction du texte d'un certificat x509 -text -in client_pub.pem

verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK

génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html

création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem

vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html