X

Installer des certificats CACert client

Demander un certificat CACert client

L’utilisation d’un certificat client chez grifon

Un certificat client peut servir chez grifon pour l’instant à :

La génération de la CSR

On génère une CSR et une clef privée de 4096 bits au minimum.
openssl req -newkey RSA:4096 -keyout ma-clef-privee.key -out ma-demande.csr
Pour un certificat client, la bonne pratique est de laisser la clef chiffrée, car en général, on est toujours là pour tapper le mot de passe. Et on répond aux questions
Generating a 4098 bit RSA private key
..................................................................++
.....++
writing new private key to 'gurvant.grifon.fr.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Bretagne
Locality Name (eg, city) []:Cesson Sevigne
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GRIFON
Organizational Unit Name (eg, section) []:Services
Common Name (e.g. server FQDN or YOUR name) []:pseudo@grifon.fr
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Les questions pour laquelle la réponse est obligatoirement celle-ci
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Bretagne
Locality Name (eg, city) []:Cesson Sevigne
Organization Name (eg, company) [Internet Widgits Pty Ltd]:GRIFON
On personnalise ici
Organizational Unit Name (eg, section) []:Services
Common Name (e.g. server FQDN or YOUR name) []:pseudo@grifon.fr
Email Address []:tartenpion@mondomaine.fr
Et ici, on repond rien
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
On file le fichier ma-demande.csr aux o-admins (c’est à dire alarig et gfa). Ces derniers ne procèderont à la signature que s’il y a vraiment lieu de donner des droits. Ils ont aussi tout pouvoir pour révoquer tout certificat dont l’usage est suspect ou non conforme.

Sauvegarde et ajout dans le navigateur

On enregistre le fichier donné en .crt. On va l’exporter pour pouvoir l’intégrer au navigateur
openssl pkcs12 -export -in moncert.crt -inkey maclef.key -out montrousseau.p12 -name "M. Tester"
On répond correctement aux sollicitations de mot de passe. Il est toujours bien vu de chiffrer ses clefs. Imaginons une backup ou autre. On ajoute le certificat au navigateur finalement. Exemple de Firefox sous linux : Edition > Préférences > Avancé > Certificats > Afficher les certificats > Onglet “vos certificats” > Importer > (on choisit le fichier .p12 généré). Et si tout se passe bien, Firefox affiche « Récupération des certificats et clef privée réussie ».