CONSIGNES

1. Pour le formateur
• L’apprenant doit être capable de configurer le fichier openssl.cnf
• Il doit être également capable de générer un certificat auto-signé pour le CA et Des
certificats clients

2. Pour l’apprenant
• Il est recommandée de maitriser les notions de base d’une PKI
• Il faut utiliser les commandes fournies au début de l’activité
• Il est également recommandée de suivre les étapes décrites dans l’énoncé

3. Conditions de réalisation :
• VirtualBox installé
• Une machine Virtuelle Ubuntu qui a été utilisée dans l’activité 2.
• Réalisation des activités précédentes (2 et 3) avec succès.

4. Critères de réussite :
• Configurer avec succès l’outil OpenSSL
• Avoir un certificat auto-signé
• Avoir un certificat client signé par le CA
 Activité 4
Génération des certificats avec OpenSSL

Présentation des objectifs

• L’objectif principal de cette activité est de mettre en place une plateforme PKI à l’aide d’OpenSSL afin de générer des certificats clients X.509.

• Cette activité sera organisée en trois étapes :

• Étape 1 : Configuration du fichier openssl.cnf ;

• Étape 2 : Génération d'un certificat auto-signé (le certificat du CA) ;

• Étape 3 : Génération des certificats clients.

PARTIE 3

Copyright - Tout droit réservé - OFPPT 166

 Activité 4
Génération des certificats avec OpenSSL

Étape 1 : Configuration du fichier openssl.cnf

• Le but de cette étape est d'éditer le fichier de configuration 'openssl.cnf’. En fait, à traves ce fichier, il est possible de définir certaines informations importantes. Il est
également possible de définir les chemins des principaux répertoires de la plateforme PKI à mettre en place.
• A cet effet, il vous est demandé de réaliser les tâches suivantes :
1. Modifiez le fichier de configuration openssl.cnf qui se trouve dans le chemin suivant /etc/ssl/openssl.cnf comme suit :
i. Dans la section relative au CA [ CA_default ]
ii. :
[ CA_default ]
dir = /etc/activite # Le dossier où tout est gardé
certs = $dir/certs # Où les certificats délivrés sont conservés
crl_dir = $dir/crl # Où sont conservées les crl émises
database = $dir/index.txt # Fichier d'index de la base de données.
new_certs_dir = $dir/newcerts # Emplacement par défaut pour les nouveaux certificats.
certificate = $dir/cacerts/ofpptcacert.pem # Le certificat du CA
serial = $dir/serial # Le numéro de série actuel
crlnumber = $dir/crlnumber # Le numéro crl actuel
crl = $dir/crl.pem # Le CRL actuel
PARTIE 3

private_key = $dir/private/ofpptcakey.pem # La clé privée

iii. Dans la section [req] remplacer les valeurs des champs suivants par

default_bits = 1024
default_keyfile = privatekey.pem

Copyright - Tout droit réservé - OFPPT 167

 Activité 4
Génération des certificats avec OpenSSL

Étape 1 : Configuration du fichier openssl.cnf

iii. Dans la section [req _distinguished_ name]

countryName_default = MA
stateOrProvinceName_default = MAROC
localityName_default = NEW_CITY
0.organizationName_default = OFPPT
organizationalUnitName_default = SECURITY

2. Créez le répertoire activite, sous /etc

3. Créez tous les répertoires (certs, cacerts, private, reqs) sous /etc/activite comme configurés dans le fichier openssl.cnf
• private contient des fichiers de clés privées RSA ;
• certs contient des certificats d'entité finale X.509 ;
• newcerts contient les nouveaux certificats ;
• cacerts contient des certificats CA fiables ;
PARTIE 3

• reqs contient des demandes de certificat X.509.

4. Créez les deux fichiers suivants sous /etc/activite :
• index.txt qui contient la liste des certificats créés ;
• serial qui contient le prochain numéro de série à utiliser.

Copyright - Tout droit réservé - OFPPT 168

 Activité 4
Génération des certificats avec OpenSSL

Étape 1 : Configuration du fichier openssl.cnf

5. Pour initialiser les fichiers cités précédemment, vous devez exécuter les commandes suivantes :
• sudo touch index.txt
• sudo touch serial
• # echo 01 > serial (cela créera un fichier contenant le numéro 1 comme premier numéro de série pour le futur certificat).
PARTIE 3

Copyright - Tout droit réservé - OFPPT 169

 Activité 4
Génération des certificats avec OpenSSL

Étape 2 : Génération d'un certificat auto-signé

• Cette étape vise à générer le certificat du CA (Certification Autority) qui est un certificat auto-signé.
• Le tableau ci-dessous fournit les commandes nécessaires pour la génération d’un certificat auto-signé.

Syntaxe de la commande Description

Permet de générer une clé privée CApriv.pem de taille size et chiffrée avec l’algorithme
openssl genrsa <-algo> -out <CApriv.pem> <size>
de chiffrement algo.
-new -x509 : new combiné avec x509 signifie
qu'un certificat X509 auto-signé sera généré.
Permet de générer un certificat -days : indique le nombre de jours de validité
autosigné CA, nommé du certificat.
openssl req -new -x509 -days<certificate_validity_period> -
CA_certificate.pem d’une validité -key : pointe sur la paire de clés RSA
key<Capriv.pem> -out<CA_certificate.pem>
certificate_validity_period en utilisant Noté qu’il faut spécifier le chemin (relatif ou
la clé privé CApriv.pem. absolue) de la clé.

-out : définit le nom du fichier de certificat.

PARTIE 3

Copyright - Tout droit réservé - OFPPT 170

 Activité 4
Génération des certificats avec OpenSSL

Étape 2 : Génération d'un certificat auto-signé

• Il vous est demandé dans cette étape de réaliser les tâches suivantes :
1. Générez une clé privée pour le CA, tel que
• Le nom de la clé est : ofpptcakey.pem ;
• La taille de la clé est : 2048 bits ;
• La clé est chiffrée avec l’algoritghme DES3 ;
• La clé doit être enregistrée dans l’emplacement adéquat : /etc/activite/private.

2. Générez le certificat auto-signé du CA, en utilisant la clé privée générée précédemment, tel que :
• Le nom du certificat est : ofpptcacert.pem ;
• La validité du certificat est : 4 ans (365joursx4=1460jours) ;
• Le certificat doit être enregistré dans l’emplacement adéquat : /etc/activite/cacerts ;
• Noté que lors de la génération du certificat, vous devez conserver les informations du CA par défaut qui ont été configurés précédemment dans le
PARTIE 3

fichier openssl.cnf.

3. Affichez le certificat généré avec la commande cat ;

4. Visualisez le certificat généré en mode graphique.

Copyright - Tout droit réservé - OFPPT 171

 Activité 4
Génération des certificats avec OpenSSL

Étape 3 : Génération des certificats clients

• Cette étape vise à générer les certificats clients qui doivent être signés par un CA.
• Le tableau ci-dessous fournit les commandes nécessaires pour la génération d’un certificat client.

Syntaxe de la commande Description

Permet de générer une clé privée clientpriv.pem de taille size et chiffrée avec
openssl genrsa <-algo> -out <clientpriv.pem> <size>
l’algorithme de chiffrement algo.
-new : combiné avec req permet la génération
Permet de générer une requête client,
d’une nouvelle requête.
nommé clientrequest.pem en utilisant
la clé privé clientpriv.pem. -key : pointe sur la paire de clés RSA
openssl req -new -key <clientpriv.pem> -out <clientrequest.pem> Noté qu’il faut spécifier le chemin (relatif ou
Cette requête est générée auprès du
absolue) de la clé.
CA pour l’obtention d’un certificat
client par la suite. -out : définit le nom du fichier sortant.

Permet de générer un certificat client clientcertificate.pem signé par le CA à partir de la

openssl ca -in <clientrequest.pem> -out <clientcertifcate.pem>
requête client clientrequest.pem.
PARTIE 3

Permet de vérifier la validité du certificat client clientcertifcate.pem au près du CA.

openssl verify -CAfile <CA_certificate.pem> <clientcertifcate.pem>
Sachant que CA_certificate.pem est le certificate du CA.

Copyright - Tout droit réservé - OFPPT 172

 Activité 4
Génération des certificats avec OpenSSL

Étape 3 : Génération des certificats clients

• Il vous est demandé dans cette étape de réaliser les tâches suivantes :
1. Générez une clé privée pour un client A, tel que
• Le nom de la clé est : ClientAkey.pem ;
• La taille de la clé est : 1024 bits ;
• La clé est chiffrée avec l’algoritghme DES3 ;
• La clé doit être enregistrée dans l’emplacement adéquat : /etc/activite/private.

2. Générez la requête client, en utilisant la clé privée générée précédemment, tel que :
• Le nom du fichier contenant la requête est : ClientArequest.pem ;
• La fichier de la requête doit être enregistrée dans l’emplacement adéquat : /etc/activite/reqs ;
• Noté que lors de la génération de la requête client, vous devez conserver les informations générales mais il faut saisir certains informations du client.
Pour ce faire :
PARTIE 3

• Le nom du client doit être saisi dans le champ Common Name. La valeur attribuée peut être ClientB.
• Le mail du client doit être saisi dans le champ Email Address . La valeur attribuée peut être [email protected].

Copyright - Tout droit réservé - OFPPT 173

 Activité 4
Génération des certificats avec OpenSSL

Étape 3 : Génération des certificats clients

3. Générez le certificat du client A qui est signé par le CA, en utilisant la requête générée précédemment, tel que :
• Le nom du certificat est : ClientAcertificate.pem
• Le certificat doit être enregistré dans l’emplacement adéquat : /etc/activite/certs
4. Vérifiez la validité du certificat généré ;
5. Affichez le certificat généré avec la commande cat ;
6. Visualisez le certificat généré en mode graphique ;
7. Répétez les tâches précédentes (1→7) pour générer un deuxième certificat client pour un client B.
PARTIE 3

Copyright - Tout droit réservé - OFPPT 174

 Activité 4
Correction

Étape 1 : Configuration du fichier openssl.cnf

La figure ci-dessous illustre la configuration finale de la section CA [ CA_default ] La figure ci-dessous illustre la configuration finale de la section [req] dans le
dans le fichier openssl.cnf fichier openssl.cnf
PARTIE 3

Copyright - Tout droit réservé - OFPPT 175

 Activité 4
Correction

Étape 1 : Configuration du fichier openssl.cnf

La figure ci-dessous illustre la configuration finale de la section [req _distinguished_ name]

dans le fichier openssl.cnf
PARTIE 3

Copyright - Tout droit réservé - OFPPT 176

 Activité 4
Correction

Étape 1 : Configuration du fichier openssl.cnf

• La figure suivante illustre le résultats des commandes permettant la création des répertoires activité, sous /etc ainsi que certs, newcerts, cacerts, private, et reqs sous
/etc/activite comme configuré dans le fichier openssl.cnf.
• Les commandes exécutées sont les suivantes :
• cd /etc
• sudo mkdir activate
• cd activate
• sudo mkdir private
• sudo mkdir certs
• sudo mkdir newcerts
• sudo mkdir cacerts
• sudo mkdir reqs
PARTIE 3

Copyright - Tout droit réservé - OFPPT 177

 Activité 4
Correction

Étape 1 : Configuration du fichier openssl.cnf

• Les figures ci-contre illustrent le résultats des commandes permettant la création et l’initialisation des fichiers index.txt et serial.
• Les commandes exécutées sont les suivantes :
• sudo touch index.txt
• sudo touch serial
• sudo su
• #echo 01 > serial
• #cat serial
PARTIE 3

Copyright - Tout droit réservé - OFPPT 178

 Activité 4
Correction

Étape 2 : Génération d'un certificat auto-signé

1. Pour générer la clé privée pour le CA en respectant l’énoncé, il suffit d’exécuter la commande suivante : sudo openssl genrsa -des3 -out private/ofpptcakey.pem 2048

2. Pour générer le certificat auto-signé du CA, en respectant l’énoncé, il suffit d’exécuter la commande :
sudo openssl req -new -x509 -days 1460 -key private/ofpptcakey.pem -out cacerts/ofpptcacert.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 179

 Activité 4
Correction

Étape 2 : Génération d'un certificat auto-signé

Le résultat de l’affichage du certificat du CA en exécutant la commande Le résultat de l’affichage du certificat du CA en mode graphique
cat cacerts/ofpptcacert.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 180

 Activité 4
Correction

Étape 3 : Génération des certificats clients

1. Pour générer la clé privée du client A en respectant l’énoncé, il suffit d’exécuter la commande suivante : sudo openssl genrsa -des3 -out private/ClientAkey.pem 1024

2. Pour générer la requête du client A, en respectant l’énoncé, il suffit d’exécuter la commande :

sudo openssl req -new -key private/ClientAkey.pem -out reqs/ClientArequest.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 181

 Activité 4
Correction

Étape 3 : Génération des certificats clients

3. Pour générer le certificat du client A qui est signé par le CA, il suffit d’exécuter la commande suivante :
sudo openssl ca -in reqs/ClientArequest.pem -out certs/ClientAcertificate.pem
PARTIE 3

4. Pour vérifier la validité du certificat généré, il suffit d’exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientAcertificate.pem

Copyright - Tout droit réservé - OFPPT 182

 Activité 4
Correction

Étape 3 : Génération des certificats clients

Le résultat de l’affichage du certificat du client A en exécutant la commande : Le résultat de l’affichage du certificat du Client A en mode graphique
cat certs/ClientAcertificate.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 183

 Activité 4
Correction

Étape 3 : Génération des certificats clients

7. Pour générer la clé privée du client B en respectant l’énoncé, il suffit d’exécuter la commande suivante : sudo openssl genrsa -des3 -out private/ClientBkey.pem 1024

8. Pour générer la requête du client B, en respectant l’énoncé, il suffit d’exécuter la commande :

sudo openssl req -new -key private/ClientBkey.pem -out reqs/ClientBrequest.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 184

 Activité 4
Correction

Étape 3 : Génération des certificats clients

9. Pour générer le certificat du client B qui est signé par le CA, il suffit d’exécuter la commande suivante :
sudo openssl ca -in reqs/ClientBrequest.pem -out certs/ClientBcertificate.pem
PARTIE 3

10. Pour vérifier la validité du certificat généré, il suffit d’exécuter la commande : sudo openssl verify -CAfile cacerts/ofpptcacert.pem certs/ClientBcertificate.pem

Copyright - Tout droit réservé - OFPPT 185

 Activité 4
Correction

Étape 3 : Génération des certificats clients

Le résultat de l’affichage du certificat du client B en exécutant la commande : Le résultat de l’affichage du certificat du Client B en mode graphique
cat certs/ClientBcertificate.pem
PARTIE 3

Copyright - Tout droit réservé - OFPPT 186