EJBCA - Création de certificats TLS

Création — Nicolas THOREZ 2024/03/20 17:03

Grâce à nos autorités de certification, nous avons la possibilité de créer des certificats TLS pour nos serveurs webs. Ces certificats et le fait que les autorités sont reconnues par les postes clients permettent de se passer des certificats auto-signés et par extensions, suppriment les messages d'erreurs lors de l'accès à des sites auto-signés :

On va donc voir comment créer un modèle de certificat TLS et les détails de la création de certificats pour des serveurs webs.

Réf. : EJBCA

• Sur l'interface d'administration, dans la section CA Functions, on va dans Certificate Profiles et on clone le profil par défaut SERVER :

• On nomme le modèle et on le créé en cliquant sur Create from template :

• On édite le modèle fraichement créé via son bouton Edit :

• On commence par définir :
  • Available Key Algorithms : ECDSA
  • Available ECDSA curves : P-256 / prime256v1 / secp256r1
  • Signature Algorithm : Inherit from Issuing CA
  • Validity or end date of the certificate : 1y
  • Expriration Restriction : On coche la cae Use… puis dans la section suivante, on coche les cases :
    • Monday
    • Friday
    • Saturday
    • Sunday
  • Profile Description : Optionnel, permet de mieux identifier le modèle.

• Dans la section X.509v3 extensions, on décoche :
  • Basic Constraints

• Dans la section X.509v3 extensions - Usages, on coche :
  • Key Usage
  • Digital Signature
  • Key encipherment
  • Dans Extended Key Usage, on choisira :
    • Server Authentication

• Dans la section X.509v3 extensions - Names, :
  • on coche Subject Alternative Name
  • on décoche Issuer Alternative Name

• Dans la section X.509v3 extensions - Validation data, on coche :
  • CRL Distribution Points
  • Use CA defined CRL Distribution Point
  • Authority Information Access :
  • Use CA defined OCSP locator
  • Use CA defined CA issuer

• Dans la section Other Data :
  • on décoche LDAP DN order
  • dans la partie Available CAs, on sélectionne notre autorité intermédiaire.
  • on sauvegarde le tout en cliquant sur Save

• On va désormais dans la menu RA Functions, End Entity Profiles et dans la section Add End Entity Profile, on nomme notre modèle et on l'ajoute ajoute en cliquant sur Add Profile :

• On sélectionne notre nouveau profil dans la liste et on l'édite :

• On commence par décocher End Entity E-mail, on peut aussi ajouter si on le souhaite une description :

• Dans la section Subject DN Attributes, on sélectionnes dans le menu déroulant et on ajoute à la suite de CN, Common name déjà présent avec le bouton Add :
  • O, Organization : on indiquera le nom de notre organisation et on cochera Required uniquement
  • C, Country (ISO 3166) : on indiquera le code du pays de l'organisation et on cochera Required uniquement
• Pour CN, Common name, on cochera Required et Modifiable

• Dans la section Other Subject Attributes, pour l'attribut Subject Alternative Name, on ajoutera DNS Name et on cochera Use entity CN field :

• Dans la section Main Certificate Data, on choisira :
  • pour Default Certificate Profile : le profil TLS précédemment créé
  • pour Default CAs : l'autorité intermédiaire précédemment créée
  • pour Default Token : User Generated
  • pour Available Tokens : User Generated et PEM file
• Puis on sauvegarde le tout avec le bouton Save en bas de la page :