EJBCA - Création de certificats TLS pour l'authentification cliente

Création — Nicolas THOREZ 2024/03/27 08:51

Prérequis

Pour réaliser cette procédure, il est obligatoire d'avoir déjà paramétrer les autorités de certification (Lien) et les profils de certificats TLS (Lien).

L'émission de certificat client pour une authentification TLS est utile pour la validation d'accès d'un client à un site (authentification logicielle) ou à un serveur (authentification mTLS (mutual Transport Layer Security). La procédure suivante permet de configurer notre PKI pour la création de ces certificats.

Création du profil de certificat

On commence par aller dans le menu CA Functions et Certificate Profiles. Ensuite, on choisit le modèle de certificats TLS pour serveur qu'on a créé précédemment et on le clone :

On nomme le modèle pour la certification TLS cliente et on clique sur Create from template :

On édite le nouveau profil :

On va dans la section Extended Key Usage et on supprime Server authentication pour sélectionner Client Authentication :

En bas de page, on enregistre la modification via le bouton Save

Création du profil utilisateur

Maintenant, on va dans le menu RA Functions, End Entity Profiles. On ajoute un nom pour notre profil et on clique sur Add Profile :

On choisit le nouveau profil et on l'édite :

Dans la section principale, on définit les paramètres suivant :
- End Entity E-mail : coché
  - Required : décoché
  - Modifiable : coché
- Profile Description : Optionnel, cela permet de mieux identifier le profil.

Dans la section Subject DN Attributes, on définit :
- Subject DN Attributes : on ajoute les champs O, Organization et C, Country (ISO 3166)
- Pour CN, Common Name :
  - Required : coché
  - Modifiable : coché
- Pour O, Organization :
  - Required : coché
  - Modifiable : décoché
  - Entrer le nom de votre organisation.
- Pour C, Country (ISO 3166) :
  - Required : coché
  - Modifiable : décoché
  - Entrer le code du pays de votre organisation.

Dans la section Main Certificate Data, on définit :
- Pour Default Certificate Profile et Available Certificate Profiles : on choisit le profil de certificat TLS client créé.
- Pour Default CAs : on choisit l'autorité de certification intermédiaire.
- Pour Default Token : on choisit User Generated.
- Dans Available Tokens : on choisit User Generated, P12 file et PEM file.

En bas de page, on enregistre la modification via le bouton Save

Création du certificat

On va sur la page de gestion des certificats et on clique sur Make New Request :

On définit :
- Certificate Type : Le profil d'utilisateur créé précédemment.
- Key-pair generation : By the CA

Dans la section Provide request info, on entre le nom du client dans CN, Common Name :

Dans la section Provide User Credentials :
- Dans Username : on entre le nom du client .
- Dans Enrollment code : on entre le mot de passe pour l'enregistrement ou l'utilisation du certificat.
- Dans Confirm enrollment code : on retape le mot de passe précédent.
- Dans Email : on entre l'adresse mail du client. Cette adresse mail sera enregistrée dans la base de la PKI mais pas dans le certificat. Elle pourra être utilisée pour prévenir le client lors du renouvellement ou de la révocation du certificat.

Dans la section Confirm request, on peut voir le résumé de nos configurations et on peut télécharger le certificat utilisateur au format voulu :

Conclusion

Félicitations

Voilà. Votre PKI est désormais capable de délivrer des certificats TLS pour l'authentification cliente.