|
OpenSSL VPN Serveurs de messagerie |
OpenSSL/opensslOpenSSL.LigneDeCommande HistoryShow minor edits - Show changes to output Added line 16:
** [[unable to get local issuer certificate|Liste d'autorités de confiance]] Changed line 19 from:
* [[ to:
* [[OpenSSL/SMIME | S/MIME ]] June 17, 2008, at 04:29 PM
by - ajout du format PFX
Added lines 94-95:
Changed lines 208-210 from:
!!!Convertion du certificat to:
!!!Convertion du certificat pour importation sous IIS6 %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out mycert.pfx -name "Mon certificat SSL personnel"'''@@\\ Added lines 217-218:
Il est à noter pour les utilisateurs sous Windows que le [[http://www.microsoft.com/downloads/details.aspx?FamilyID=860ee43a-a843-462f-abb5-ff88ea5896f6&DisplayLang=en|Platform SDK Redistributable: CAPICOM]] contient un script (CStore.vbs) permettant d'automatiser les actions sur les certificats stockés dans le gestionnaire de clefs de Windows. Added lines 220-221:
Changed line 17 from:
* [[#PKCS7 | Format to:
* [[#PKCS7 | Format S/MIME ]] Added line 17:
* [[#PKCS7 | Format binaire des certificats ]] Changed lines 660-661 from:
!!![[# to:
!!![[#PKCS7]]{+8. Format S/MIME+} c'est par [[http://www.grandville.net/pmwiki.php/OpenSSL/SMIME|ici]] Added lines 663-665:
!!![[#FRM]]{+9. Format binaire des certificats+} \\ Changed line 529 from:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à 128 (1024/8 octets) caractères moins le padding.\\ Changed line 533 from:
Le chiffrement d'un bloc d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème to:
Le chiffrement d'un bloc de données d'exactement 128 octets avec une clef 1024 bits ne pose pas de problème leurs tailles sont les mêmes. Changed line 550 from:
Pour un bloc de données de taille inférieure à la clef, la commande à utiliser sera to:
Pour un bloc de données de taille inférieure à la taille de la clef, la commande à utiliser sera Changed line 552 from:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc to:
'''rsautl -certin -inkey client_crt.pem -in test.txt -encrypt -out test.enc''' Changed line 606 from:
!!! to:
!!!Exemple de chiffrement d'un fichier Changed lines 608-615 from:
to:
Commençons par chiffrer le fichier avec une clef symétrique et protégeons cette clef avec le ou les certificats des destinataires.\\ Après avoir généré les certificats de chaque destinataire, générons une clef symétrique\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rand -out pass.txt -base64 48\\ Loading 'screen' into random state - done >><< Added line 617:
Le fichier pass.txt contient maintenant une chaine de caractères au format Base64 qui sera la clef de chiffrement symétrique.\\ Added lines 619-626:
Chiffrons le fichier archive.rar.\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.txt -e -in archive.rar -out archive.rar.enc -aes-128-cbc -p\\ salt=F384A365EC854856\\ key=14F7D9F96DC2C17CA02EF065A45A76E0\\ iv =5709622E05C1EE453DBD031975F4A96D >><< Added lines 628-664:
Chiffrons la clef de déchiffrement.\\ \\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -certin -inkey client1_crt.pem -in pass.txt -encrypt -out pass.client1.enc\\ Loading 'screen' into random state - done >><< Précisons qu'il n'est pas nécessaire de connaitre la clef privée pour protéger les données à envoyer.\\ La clef de déchiffrement est maintenant irrémédiablement cryptée avec la clef publique du certificat du destinataire (client1_crt.pem).\\ \\ Le destinataire recevra ces fichiers :\\ - archive.rar.enc\\ - pass.client1.enc\\ !!!Procédure de déchiffrement\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL rsautl -inkey client1_pvk.pem -in pass.client1.enc -decrypt -out pass.client1.txt\\ Loading 'screen' into random state - done\\ Enter pass phrase for client1_pvk.pem:↵ >><< >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< C:\OpenSSL-0.9.8g\out32dll>OpenSSL enc -kfile pass.client1.txt -d -in archive.rar.enc -out archive.rar -aes-128-cbc >><< Le fichier archive.rar est maintenant lisible.\\ \\ !!![[#FRM]]{+8. Format binaire des certificats+} \\ Un certificat X509 v3 est un fichier binaire dont la structure est définie par la [[http://www.ietf.org/rfc/rfc2459.txt|RFC2459]]... [ [[openssl-asn1|'''la suite''']] ] \\ \\ \\ Added line 17:
* [[#FRM | Format binaire des certificats ]] Changed lines 603-611 from:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. to:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC.\\ \\ !!![[#FRM]]{+8. Format binaire des certificats+} \\ Un certificat X509 v3 est un fichier binaire dont la structure est définie par la [[http://www.ietf.org/rfc/rfc2459.txt|RFC2459]]... [ [[openssl-asn1|'''la suite''']] ] \\ \\ \\ Changed lines 467-476 from:
to:
Le chiffrement avec une clef asymétrique est '''49207/87 = 565''' fois plus couteux en temps processeur qu'un chiffrement symétrique AES-CBC. Changed lines 451-455 from:
available timing options: TIMEB HZ=1000\\ timing function used: ftime The type aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k to:
available timing options: TIMEB HZ=1000\\ timing function used: ftime The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k Changed line 458 from:
rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 to:
rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 Changed line 386 from:
Remarquons au passage que les dernières estimations de l' to:
Remarquons au passage que les dernières estimations de l'âge de l'univers sont de 2^59 secondes (13.7x10^9 années)... \\ Changed line 389 from:
Rappellons que to:
Rappellons que des clefs de 1024 bits ne peuvent chiffrer qu'un bloc de données au maximum égal à leur taille soit 128 caractères (1024/8 octets) moins le padding.\\ Changed lines 431-439 from:
to:
Dans la pratique, les données à transférer sont cryptées avec une clef symétrique pour passer outre la limitation des 128 octets et c'est la clef symétrique cryptée qui est envoyée avec les données sécurisées au destinataire car le travail sur les clefs asymétriques est environ 500 fois plus couteux que le travail sur des clefs symétriques.\\ Voici un test de performance :\\ >>teal background-color:#f0f0f0 padding=5px font-family=monospace<< OpenSSL> '''speed aes-128-cbc rsa1024'''\\ To get the most accurate results, try to run this\\ program when this computer is idle.\\ First we calculate the approximate speed ...\\ Doing aes-128 cbc 20971520 times on 16 size blocks: 20971520 aes-128 cbc's in 7.01s\\ Doing aes-128 cbc 5242880 times on 64 size blocks: 5242880 aes-128 cbc's in 6.96s\\ Doing aes-128 cbc 1310720 times on 256 size blocks: 1310720 aes-128 cbc's in 6.86s\\ Doing aes-128 cbc 327680 times on 1024 size blocks: 327680 aes-128 cbc's in 6.82s\\ Doing aes-128 cbc 40960 times on 8192 size blocks: 40960 aes-128 cbc's in 6.93s\\ Doing 1310 1024 bit private rsa's: 1310 1024 bit private RSA's in 14.96s\\ Doing 13107 1024 bit public rsa's: 13107 1024 bit public RSA's in 7.13s\\ OpenSSL 0.9.8a 11 Oct 2005\\ built on: Fri Feb 3 15:41:35 2006\\ options:bn(64,32) md2(int) rc4(idx,int) des(idx,cisc,4,long) aes(partial) idea(int) blowfish(idx)\\ compiler: cl /MD /Ox /O2 /Ob2 /W3 /WX /Gs0 /GF /Gy /nologo -DOPENSSL_SYSNAME_WIN32 -DWIN32_LEAN_AND_MEAN -DL_ENDIAN -DDSO_WIN32 -D_CRT_SECURE_NO_DEPRECATE -DOPENSSL_USE_APPLINK -I. /Fdout32dll -DOPENSSL_NO_RC5 -DOPENSSL_NO_MDC2 -DOPENSSL_N O_KRB5\\ available timing options: TIMEB HZ=1000\\ timing function used: ftime\\ The 'numbers' are in 1000s of bytes per second processed.\\ type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes\\ aes-128 cbc 47866.52k 48210.39k 48913.17k '''49207.26k''' 48419.09k sign verify sign/s verify/s rsa 1024 bits 0.011421s 0.000544s '''87.6''' 1838.3 >><< Une clef asymétrique de 1024 bits est '''49207/87 = 565''' fois moins performante qu'une clef symétrique AES-CBC. Changed line 407 from:
Par an, en France, entre 10 et 30 personnes to:
Par an, en France, entre 10 et 30 personnes meurent foudroyées ce qui correspond à une probabilité inverse de 2^21\\ Changed lines 53-59 from:
@@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant to:
Cette autorité devra être diffusée auprès des futurs utilisateurs des certificats. Deleted lines 54-59:
!!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ Changed lines 57-64 from:
!!! Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et to:
!!!Autosignature de la nouvelle autorité racine %left bgcolor=#f0f0f0' padding=5px%@@'''req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem'''@@ CA_pvk.pem est le fichier contenant la clef privée sera nécessaire à la création les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats.\\ Ces deux fichiers doivent être renseignés dans les variables ''certificate'' et ''private_key'' du fichier de configuration d'OpenSSL. Deleted lines 65-70:
!!!Convertion du certificat PEM en X509 pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ Changed lines 68-72 from:
!!! to:
!!!Transformation au format Microsoft %left bgcolor=#f0f0f0' padding=5px%@@'''x509 -in CA_crt.pem -outform DER -out CA_crt.der'''@@ Added lines 74-134:
!!!Création du Certificat Signing Request (CSR) client on commence par créer une clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''genrsa -des3 -out client_pvk.pem 1024'''@@ puis à partir de cette clef privée nous générons la CSR %left bgcolor=#f0f0f0' padding=5px%@@'''req -new -key client_pvk.pem -out client_csr.pem'''@@ \\ !!!Signature de la requête CSR Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR %left bgcolor=#f0f0f0' padding=5px%@@'''ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem'''@@ %left bgcolor=#ffffcc border='1px dotted red' padding=5px%Si vous obtenez ce message :\\ @@failed to update database@@\\ @@TXT_DB error number 2@@\\ @@error in ca@@\\ Le numéro de CSR est déjà utilisé, vous devrez révoquer le certificat l'utilisant.\\ @@@@\\ @@unable to load certificate@@\\ @@260:error:0906D06C:PEM routines:PEM_read_bio:no start line:.\crypto\pem\pem_lib.c:642:Expecting: TRUSTED CERTIFICATE@@\\ @@error in ca@@\\ La CA passée en paramètre n'est pas au format PEM. !!!Révocation d'un certificat %left bgcolor=#f0f0f0' padding=5px%@@'''ca -revoke client_crt.pem'''@@ \\ !!!Transformation au format binaire de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net'''@@ Cette manipulation est nécessaire pour IIS.\\ Reste à supprimer l'entête du certificat client (texte) et à importer la clef privée et le certificat dans le gestionnaire de clef de IIS. \\ !!!Convertion du certificat PEM en X509 pour IIS %left bgcolor=#f0f0f0' padding=5px%@@'''pkcs12 -export -in client_crt.pem -inkey client_pvk.pem -out server.pfx -name "Mon certificat SSL personnel"'''@@ \\ !!!Retirer la passphrase de la clef privée %left bgcolor=#f0f0f0' padding=5px%@@'''rsa -in client_pvk.pem -out client_unpvk.pem'''@@ \\ Changed lines 175-176 from:
to:
Deleted line 177:
Added lines 181-187:
!!!Validation du rôle du certificat %left bgcolor=#f0f0f0' padding=5px%@@'''verify -CAfile CA1_crt.pem -purpose sslclient client_crt.pem'''@@\\ @@client_crt.pem: OK@@ Changed lines 5-9 from:
'+ to:
\\ \\ !!!Création de l’autorité racine Changed lines 14-17 from:
to:
\\ \\ !!!Autosignature de la nouvelle autorité racine Changed lines 25-29 from:
'+ to:
\\ \\ !!!Transformation au format Microsoft Changed lines 32-34 from:
to:
\\ !!!Création du Certificat Signing Request (CSR) client Changed lines 45-49 from:
Cette fois ci to:
\\ !!!Signature de la requête CSR Maintenant, nous agissons en temps qu'autorité de certification pour valider les informations contenues dans la CSR Changed lines 59-61 from:
' to:
\\ !!!Révocation d'un certificat Changed lines 67-69 from:
to:
\\ !!!Transformation au format binaire de la clef privée Changed lines 77-79 from:
to:
\\ !!!Convertion du certificat PEM en X509 pour IIS Changed lines 84-86 from:
to:
\\ !!!Retirer la passphrase de la clef privée Changed lines 91-93 from:
to:
\\ !!!Extraction du texte d'un certificat Changed lines 98-102 from:
'+ to:
\\ !!!Validation de la CA émettrice du certificat Changed lines 106-109 from:
to:
\\ !!!Date de début de validité du certificat Changed lines 113-116 from:
'+Signature au format hexadécimale d'un fichier avec un certificat+' to:
\\ !!!Se connecter à un serveur HTTPS manuellement Si pour se connecter à une serveur HTTP, un telnet sur le port 80 suffit, se connecter manuellement à un serveur HTTPS est impossible sauf si vous utilisez OpenSSL. \\ Exemple de GET aveugle sur https://www.google.fr %left bgcolor=#f0f0f0' padding=5px%@@'''s_client -connect www.google.fr:443'''@@\\ @@Loading 'screen' into random state - done@@\\ @@CONNECTED(00000784)@@\\ @@depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@verify error:num=20:unable to get local issuer certificate@@\\ @@verify return:0@@\\ @@---@@\\ @@Certificate chain@@\\ @@ 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com@@\\ @@ i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@ 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@ i:/C=US/O=VeriSign, Inc./OU=Class 3 Public Primary Certification Authority@@\\ @@---@@\\ @@Server certificate@@\\ @@-----BEGIN CERTIFICATE-----@@\\ @@MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM@@\\ @@MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg@@\\ @@THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wNjA1MTUyMzE4MTFaFw0w@@\\ @@NzA1MTUyMzE4MTFaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh@@\\ @@MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRcw@@\\ @@FQYDVQQDEw53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC@@\\ @@gYEA5sXGjc0LowME3K7MyUa+vcydvHM0SP7TdWTQycl2J3IPqZYaO4HzFPaukFbn@@\\ @@GdJzaKeFpK7KJBQwALroNl2BczpxBY+xrxGH2lzxPr9TUYRvRA636CbXL7Jv8vJd@@\\ @@36fPjKXpHm8wSJQhCwGtug5xAQ0Q77/uLNON/lSo/tOXj8sCAwEAAaOB5zCB5DAo@@\\ @@BgNVHSUEITAfBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEATA2BgNVHR8E@@\\ @@LzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlU0dDQ0EuY3Js@@\\ @@MHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0cDovL29jc3AudGhhd3Rl@@\\ @@LmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv@@\\ @@cnkvVGhhd3RlX1NHQ19DQS5jcnQwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQF@@\\ @@AAOBgQBXS7ykQ+fgAZKgljX5GAiIHXtwGY/5NrIFOgXKFFlNJA7liq9Oh1r3HCqW@@\\ @@j8thQJ7StDhAISTBTx/LE0qPlQLfkT3WQOsRb5sQoW/OkV4w9m0TXhWkLsIYngDD@@\\ @@2DJnR/y4HprZmo7M/3wStwO/UiDPIfTzd90SFfCU+pDV41logQ==@@\\ \\ @@-----END CERTIFICATE-----@@\\ @@subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com@@\\ @@issuer=/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA@@\\ @@---@@\\ @@No client certificate CA names sent@@\\ @@---@@\\ @@SSL handshake has read 1777 bytes and written 346 bytes@@\\ @@---@@\\ @@New, TLSv1/SSLv3, Cipher is AES256-SHA@@\\ @@Server public key is 1024 bit@@\\ @@SSL-Session:@@\\ @@ Protocol : TLSv1@@\\ @@ Cipher : AES256-SHA@@\\ @@ Session-ID: 324A8C64623FD9EACF9F1D501D4FF4EB24C0E4298B753C169EF3BA6F945BA99F@@\\ @@ Session-ID-ctx:@@\\ @@ Master-Key: 4C6CD25586CCBFB8750BAE881731956110990F22FAFB94AF9E8FC958EC8CB18EE3E2769828959B357972D36AA5B0693F@@\\ @@ Key-Arg : None@@\\ @@ Start Time: 1166439884@@\\ @@ Timeout : 300 (sec)@@\\ @@ Verify return code: 20 (unable to get local issuer certificate)@@\\ @@---@@\\ @@'''GET / HTTP/1.0'''@@\\ \\ @@HTTP/1.0 302 Found@@\\ @@Location: http://www.google.com@@\\ @@Date: Mon, 18 Dec 2006 11:04:44 GMT@@\\ @@Content-Type: text/html@@\\ @@Server: GFE/1.3@@\\ @@Connection: Close@@\\ @@Content-Length: 218@@\\ \\ @@<HTML><HEAD><meta http-equiv="content-type" content="text/html;charset=utf-8">@@\\ @@<TITLE>302 Moved</TITLE></HEAD><BODY>@@\\ @@<H1>302 Moved</H1>@@\\ @@The document has moved@@\\ @@<A HREF="http://www.google.com">here</A>.@@\\ @@</BODY></HTML>@@\\ @@read:errno=0@@ On remarquera que le CN du certificat utilisé par le serveur Web de Google (www.google.com) ne correspond pas à l'URL accédée (www.google.fr) ce qui provoque une alerte alors de l'accès à cette URL avec un navigateur. \\ !!!Signature au format hexadécimale d'un fichier avec un certificat Changed lines 214-217 from:
to:
\\ !!!Signature au format binaire d'un fichier avec un certificat Changed lines 221-224 from:
to:
\\ !!!Création de la clef publique à partir du certificat Changed lines 230-232 from:
to:
\\ !!!Vérification de la concordance fichier / clef publique Changed lines 240-241 from:
to:
Mon savons maintenant que le fichier a été signé par le propriétaire du certificat et qu'il n'a pas été modifié depuis.\\ Nous devons maintenant vérifier le contenu du certificat. L'identité de son propriétaire %left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -subject@@\\ @@subject= /C=FR/ST=FRANCE/O=Credit du Nord/OU=DSIP/CN=SEC001PUB001/emailAddress=dsip.ctisuppinternet@cdn.fr@@ L'identité de l'émetteur du certificat %left bgcolor=#f0f0f0' padding=5px%@@x509 -in pubcert2.pem -noout -issuer@@\\ @@issuer= /C=FR/ST=France/L=Seclin/O=Credit du Nord/OU=DSIP/CN=cdn/emailAddress=dsip.cticertificatverisign@cdn.fr@@ Changed lines 49-55 from:
'+ to:
'+création de la clef publique à partir du certificat+'\\ x509 -in client_crt.pem -pubkey > client_pub.pem '+validation de l'émetteur du certificat+'\\ verify -CAfile CA1_crt.pem client_crt.pem\\ Changed lines 59-64 from:
'+ to:
'+date de début de validité du certificat+'\\ x509 -startdate -noout -in client_crt.pem\\ notBefore=Dec 12 09:57:30 2006 GMT '+signature d'un fichier avec un certificat+'\\ dgst -hex -sha1 -sign client_pvk.pem C:\archive.zip Enter pass phrase for client_pvk.pem: SHA1(C:\archive.zip)= 3a5bf992899216c320835e98b700a1e669c1716e9145c4e2fec 91eb3ee473d3d3d1dc264e139f6bffc76d4d00e2cac6c6687e7d53613c94f0ca866334f9d6d43bfe b23a0d1bd51af8f500d129146d2a83d58cb4051f112805beb7519489abd79f75d4878f834005631f 5c59b5fbbcd0ecb391c5a9f1dbdcef1f9d2f287cd3e41 Added lines 1-3:
(:if ! match -comments$ :) [[{$Name}-comments | Comments]] (:if:) Changed lines 13-14 from:
Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem to:
Création du Certificat Signing Request (CSR) client\\ genrsa -des3 -out client_pvk.pem 1024\\ Changed lines 17-21 from:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête to:
le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire.\\ les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private\\ Signature de la requête CSR\\ Changed lines 24-28 from:
failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). to:
failed to update database\\ TXT_DB error number 2\\ error in ca\\ You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists).\\ Changed lines 31-33 from:
pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la to:
pour IIS transformation au format binaire de la clef privée \\ rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net\\ suppression de l'entête texte du certificat client et importation de la \\ Changed lines 36-42 from:
extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem to:
extraction du texte d'un certificat\\ x509 -text -in client_pub.pem\\ verify -CAfile CA1_crt.pem client_crt.pem\\ c:\temp2\cert\client_crt.pem: OK\\ Deleted lines 0-1:
Changed line 3 from:
Création de l’autorité to:
'+Création de l’autorité racine+'\\ Changed lines 5-6 from:
Autosignature du to:
'+Autosignature du CA+'\\ Changed lines 9-12 from:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats to:
CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients\\ CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats\\ Added lines 1-51:
set OPENSSL_CONF=D:\dev\openssl-0.9.8a\apps\openssl.cnf Création de l’autorité racine genrsa -des3 -out CA_pvk.pem 1024 Autosignature du CA req -new -x509 -days 365 -key CA_pvk.pem -out CA_crt.pem CA_pvk.pem est le fichier contenant la clef privée doit être utilisé pour créer les certificats clients CA_crt.pem est le fichier contenant le certificat doit être fournit aux clients avec leurs certificats Création du Certificat Signing Request (CSR) client genrsa -des3 -out client_pvk.pem 1024 req -new -key client_pvk.pem -out client_csr.pem le fichier C:\OpenSSL\apps\openssl.cnf contient des chemins de répertoire. les fichiers CA_crt.pem et CA_pvk.pem doivent être déplacés dans C:\OpenSSL\apps\demoCA\private Signature de la requête CSR ca -out client_crt.pem -in client_csr.pem -cert CA_crt.pem -keyfile CA_pvk.pem failed to update database TXT_DB error number 2 error in ca You may receive this error message when attempting to re-sign a certificate signing request (CSR) for an expired server certificate. The certificate must first be revoked and then recreated (if the CSR no longer exists) or re-signed (if the CSR exists). ca -revoke client_crt.pem pour IIS transformation au format binaire de la clef privée rsa –inform pem –outform net –in client_pvk.pem -out client_pvk.net suppression de l'entête texte du certificat client et importation de la clef privée et du certificat dans le gestionnaire de clef de IIS extraction du texte d'un certificat x509 -text -in client_pub.pem verify -CAfile CA1_crt.pem client_crt.pem c:\temp2\cert\client_crt.pem: OK génération de la signature dgst -sha1 -sign client_pvk.pem -binary -out test.sha1 test.html création de la clef publique à partir du certificat x509 -in client_crt.pem -pubkey > client_pub.pem vérification de la signature dgst -sha1 -verify client_pub.pem -signature test.sha1 test.html |