ejbca_createca

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
ejbca_createca [2024/03/20 17:05] – [Conclusion] nekanejbca_createca [2024/04/09 10:52] (Version actuelle) nekan
Ligne 5: Ligne 5:
 Dans cette procédure, nous allons mettre en place une autorité de certification racine et une autorité intermédiaire pour valider différents certificats utilisateurs et/ou serveurs sur notre infrastructure. Dans cette procédure, nous allons mettre en place une autorité de certification racine et une autorité intermédiaire pour valider différents certificats utilisateurs et/ou serveurs sur notre infrastructure.
  
-Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-your-first-root-ca-using-ejbca|EJBCA (RootCA en RSA)]]+Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-your-first-root-ca-using-ejbca|EJBCA (RootCA en RSA)]] \\
 Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-a-pki-hierarchy-in-ejbca|EJBCA (RootCA et SubCA en ECDSA)]] Réf. : [[https://doc.primekey.com/ejbca/tutorials-and-guides/tutorial-create-a-pki-hierarchy-in-ejbca|EJBCA (RootCA et SubCA en ECDSA)]]
  
Ligne 143: Ligne 143:
 ===== Déploiement des certificats racine et intermédiaire sur les postes clients ===== ===== Déploiement des certificats racine et intermédiaire sur les postes clients =====
  
-{{ :underconstruction-copy-300x150.jpg |}}+Quels que soient les clients sur lesquels installer les certificats des autorités de certifications, il nous faut d'abord récupérer ces derniers. Pour cela, on peut les télécharger depuis la page de gestion (''RA Web'') dans le menu ''CA Certificates and CRLs'' en utilisant le bouton ''Download Certificate Bundle''
 +<image shape="thumbnail">{{ :linux:ejbca:ejbca-067.png |}}</image>
  
 +==== Windows par GPO ====
 +
 +  * On place les certificats racine et intermédiaire dans le dossier ''SYSVOL'' du contrôleur de domaine.
 +  * On crée un ''GPO'' que l'on édite :
 +    * Dans ''Configuration ordinateur'', ''Stratégies'', ''Paramètres Windows'', ''Paramètres de sécurité'', ''Stratégie de clé publique'' :
 +      * **Autorités de certification racines de confiance** : on importe le certificat racine.
 +      * **Autorités de certification intermédiaires** : on importe le certificat intermédiaire.
 +
 +==== Linux via puppet ====
 +
 +  * Sur notre serveur ''puppet'', on place les certificats racine et intermédiaire au format ''PEM'' dans le dossier ''/etc/puppetlabs/code/environments/production/modules/file/files/'', par exemple sous les noms ''RootCA.pem'' et ''SubCA.pem''.
 +  * On crée la classe suivante :
 +<file>class install_ca {
 +
 +  # Création du dossier de dépôt
 +  file {'/usr/share/ca-certificates/extra':
 +    ensure  => 'directory',
 +    owner   => 'root',
 +    group   => 'root',
 +    mode    => '0750',
 +  }
 +  
 +  # Déploiement du certification racine
 +  file {'/usr/share/ca-certificates/extra/RootCA.pem':
 +    ensure  => 'present',
 +    owner   => 'root',
 +    group   => 'root',
 +    mode    => '0644',
 +    content => file('file/RootCA.pem'),
 +  }
 +  
 +  # Déploiement du certificat intermédiaire
 +  file {'/usr/share/ca-certificates/extra/SubCA.pem':
 +    ensure  => 'present',
 +    owner   => 'root',
 +    group   => 'root',
 +    mode    => '0644',
 +    content => file('file/SubCA.pem'),
 +  }
 +  
 +  # Ajout du certificat racine dans la bibliothèque des certificats  
 +  file_line { 'RootCA':
 +    ensure  => present,
 +    match   => "^extra/RootCA.pem",
 +    path    => '/etc/ca-certificates.conf',
 +    line    => 'extra/RootCA.pem',
 +  }
 +  
 +  # Ajout du certificat intermédiaire dans la bibliothèque des certificats
 +  file_line { 'SubCA':
 +    ensure  => present,
 +    match   => "^extra/SubCA.pem",
 +    path    => '/etc/ca-certificates.conf',
 +    line    => 'extra/SubCA.pem',
 +  }
 +  
 +  # Mise à jour de la bibliothèque en cas de modification
 +  exec { 'update-ca-certificates':
 +    command   => '/usr/sbin/update-ca-certificates',
 +    subscribe => [ 
 +      File['/usr/share/ca-certificates/extra/RootCA.pem'], 
 +      File['/usr/share/ca-certificates/extra/SubCA.pem'], 
 +    ],
 +    refreshonly => true,
 +  }
 +}
 +</file>
 +
 +  * Il ne reste plus qu'à ajouter la classe aux postes concernés dans le fichier ''node.pp'' ou à tous les postes via le fichier ''site.pp''.
 +<callout type="warning" title="Navigateurs" icon="true">Sous ''Debian'' et ''Ubuntu'', les navigateurs ''Firefox'' et ''Chrome'' utilisent leurs propres banques de certificats. Il faudra donc les importer manuellement.</callout>
 ===== Conclusion ===== ===== Conclusion =====
  
Ligne 150: Ligne 221:
  
   * Création d'un certificat TLS pour un serveur web : [[ejbca_tls|Lien]]   * Création d'un certificat TLS pour un serveur web : [[ejbca_tls|Lien]]
 +  * Création d'un certificat TLS pour s'authentifier sur un serveur web : [[ejbca_tls_client|Lien]]
 +
 ~~DISCUSSION~~ ~~DISCUSSION~~
  • ejbca_createca.1710950754.txt.gz
  • Dernière modification : 2024/03/20 17:05
  • de nekan