Ce document a pour objectif de vous indiquer les démarches à suivre afin de pouvoir utiliser correctement OpenCA, et donc de configurer votre CA et votre RA convenablement.
Il sera considéré que l’installation de OpenCA et de tous les logiciels requis pour son fonctionnement a été effectuée selon les indications données dans les documents [VER01] et [VER02], dont l’installation et la configuration de apache qui est désormais obligatoire pour l’utilisation de la dernière version de OpenCA.
Les informations données ici peuvent être retrouvées dans le guide de OpenCA à l'URL : http://www.openca.org/openca/docs/online/ dans le chapitre "Functionality Descriptions".
Suivez les indications pas à pas car chaque action
qui va suivre a son importance.
Pour commencer, lancer votre serveur apache avec la commande suivante :
/usr/local/apache/bin/apachectl start
ou bien
/usr/local/apache/bin/apachectl startssl
Puis lancez un navigateur Internet de votre choix. Dans le cadre de notre recherche, nous avons travaillé avec Konqueror sous Mandrake 9.1.
Tapez l’URL suivante : http://pivert/ca/
(Rappelons que pivert est le nom de la machine où les logiciels ont été installés)
Voici ce que vous obtiendrez :
Cliquez sur le lien Initialization dans la
partie CA Management :
Choisissez ensuite Initialize the Certification Authority,
puis Initialize Database :
Revenez sur la page précédente, puis sélectionnez Generate new CA secret Key et remplissez les champs avec des3, 2048, puis entrez votre mot de passe pour la CA.
Cliquez maintenant sur le lien : Generate new CA Certificate Request (use generated secret key) et remplissez les valeurs adéquates (pour notre exemple : Maryline.Maknavicius@int-evry.fr, INT Root CA, PKI-CA, INT, FR).
Choisissez ensuite : Generate Self Signed CA Certificate (from already generated request) avec un nombre de jours égal à 730, puis donnez votre mot de passe de la CA.
Sélectionnez Rebuild CA Chain.
Insérez ensuite une disquette vierge dans votre lecteur et assurez vous que " nobody " a le droit d’écrire dans /dev/fd0/ (disquette).
Si ce n’est pas le cas, vous pouvez soit, rajouter nobody dans le groupe d’utilisateur autorisés à écrire sur la disquette ou changer les permissions de la disquette pour que tout le monde puisse écrire dedans (chmod o+w /dev/fd0/).
Cliquez ensuite sur Export Configuration.
Ensuite cliquez sur Create a new request. Vous aurez une certaine quantité d’informations à rentrer concernant le certificat de la personne qui jouera le rôle d’administrateur de vos CA et RA.
Voici les valeurs que nous avons rentrées : Maryline.Maknavicius@int-evry.fr, Maryline Maknavicius, PKI, RA Operator, Trustcenter itself, mdputilisateur, mdputilisateur, 1024.
Confirmez, puis validez à deux reprises. Cliquez ensuite sur Edit the request, puis OK et issue the certificate, puis donnez le mot de passe de la CA. Voici le résultat :
Ensuite sélectionnez Handle the certificate, puis dans le champ Certificate and Keypair, préférez PKCS#12 à SSLeay (mod_ssl) puis stockez-le en lui donnant un nom avec la terminaison .p12.
Puis cliquez sur Create a new request. Remplissez les valeurs demandées. Pour l’exemple : pascal.verrecchia@int-evry.fr, pivert, PKI, Web Server, Trustcenter itself, mdp, mdp, 1024.
Validez par 2 fois.
Il est possible de visualiser la requête en l'éditant dans le menu Edit the request.
Cliquez maintenant sur Handle the certificate. Dans la partie Certificate and Keypair, choisissez SSLeay (mod_ssl), puis download.
Votre certificat va apparaître dans votre navigateur, copiez le avec la souris. Attention suivant le navigateur utilisé, le format base64 est plus ou moins bien respecté.
Créez trois sous-répertoires dans /usr/local/apache/conf/ : ssl.crt, ssl.crt et ssl.key
Enregistrez la première partie du certificat (correspondant
à la clé publique) comme server.pem dans ssl.crt et la seconde
partie comme server.pem dans ssl.key.
Ce sont ces clés qui serviront pour accéder
via ssl à votre serveur (cf. [Ver03B]).