Création d’un certificat client

Avant de créer un certificat client, vous devez créer un certificat d’autorité de certification qui peut être utilisé comme certificat d’autorité de certification racine pour signer les certificats clients. Pour créer un certificat d’autorité de certification pour le serveur désigné comme serveur d’autorité de certification SSL, procédez comme suit:

  1. Générer une Clé Privée pour le Certificat d’Autorité de certification
  2. Créer un Certificat d’Autorité de Certification à l’aide de la Clé Privée
  3. Importer le Certificat d’Autorité de Certification dans le Pare-feu d’Application Web Barracuda
  4. Activer l’Authentification Client sur le Pare-feu d’Application Web Barracuda
  5. Créer un Certificat Client
  6. Convertir le fichier PEM au Format PKCS #12
  7. Importer le certificat Client dans le navigateur

Étape 1 – Générer une clé privée pour le certificat d’autorité de certification

Pour générer une clé pour un certificat d’autorité de certification, exécutez la commande openssl suivante sur votre serveur :

openssl genrsa 2048 > clé ca.pem

Cela génère une clé privée « ca-key » au format PEM.

Étape 2 – Créez un certificat d’autorité de certification à l’aide de la clé privée

Utilisez la clé privée générée à l’étape 1 pour créer le certificat d’autorité de certification pour le serveur. La commande openssl pour générer un certificat d’autorité de certification est la suivante :

openssl req-new-x509-nodes-days 1000-key ca-key.pem > ca-cert.pem

Vous serez invité à fournir certaines informations qui seront saisies dans le certificat. Voir l’exemple ci-dessous:

Nom du pays (code à 2 lettres): États-Unis
Nom de l’État ou de la province (nom complet): Californie
Nom de la localité (par exemple, ville): Campbell
Nom de l’organisation (par exemple, société): Barracuda Networks
Nom de l’unité organisationnelle (par exemple, section): Ingénierie
Nom commun (par exemple, VOTRE nom): barracuda.yourdomain.com
Adresse e-mail: [email protected]

Cela crée le certificat CA avec les valeurs ci-dessus. Ce certificat agit comme un certificat d’autorité de certification racine pour authentifier les certificats clients.

Étape 3 – Importez le certificat d’autorité de certification dans le Pare-feu d’application Web Barracuda

Le certificat créé doit être téléchargé dans la section de BASE > Certificats > Télécharger le certificat de confiance (CA).

Étape 4 – Activer l’authentification client sur le pare-feu d’applications Web Barracuda

Pour pouvoir utiliser le certificat d’autorité de certification pour valider les certificats clients, l’authentification client doit d’abord être activée.

Étapes pour activer l’authentification du client:
  1. Accédez à la page des services de BASE >.
  2. Dans la section Services, identifiez le service pour lequel vous souhaitez activer l’authentification client.
  3. Cliquez sur Modifier à côté du service. Dans la page d’édition du service, faites défiler jusqu’à la section SSL.
  4. Définissez Activer l’authentification client et Appliquer le certificat client sur Oui.
  5. Cochez la ou les cases à côté du paramètre Certificats approuvés.
  6. Spécifiez les valeurs d’autres paramètres selon les besoins, puis cliquez sur Enregistrer les modifications.

Étape 5 – Créer un certificat client

Pour créer un certificat client, utilisez l’exemple suivant:

openssl req-newkey rsa: 2048 jours 1000 nœuds – client keyout-key1.pem> client-req.pem

Génération d’une clé privée RSA de 2048 bits écrivant une nouvelle clé privée dans ‘client-key1.pem’

…………………………………………………………………………..+++

..+ + +

On va vous demander d’entrer des informations qui seront intégrées à votre demande de certificat.

Ce que vous êtes sur le point d’entrer est ce qu’on appelle un nom distinctif ou un DN.

Il y a pas mal de champs mais vous pouvez en laisser vides

Pour certains champs, il y aura une valeur par défaut,

Si vous entrez ‘.’, le champ sera laissé vide.

Nom du pays (code à 2 lettres): États-Unis

Nom de l’État ou de la province (nom complet): Californie

Nom de la localité (par exemple, ville): Campbell

Nom de l’organisation (par exemple, société): Barracuda Networks

Nom de l’unité organisationnelle (par exemple, section): Support technique

Nom commun (par exemple par exemple, VOTRE nom): barracuda.mydomain.com

Adresse e-mail: [email protected]

Veuillez saisir les attributs « supplémentaires » suivants à envoyer avec votre demande de certificat

Un mot de passe de défi : Secret123
Remarque : Comme meilleure pratique, utilisez un compte unique pour ce point d’intégration et accordez-lui le moins de privilèges requis, en coordination avec l’administrateur. Ce compte nécessite des privilèges de LECTURE. Pour plus d’informations, consultez Sécurité pour l’intégration avec d’autres systèmes – Meilleures pratiques.

Un nom d’entreprise facultatif : –

Cela crée la clé privée « client-key1 » au format PEM.

Maintenant, utilisez l’exemple suivant pour créer un certificat client qui sera signé par le certificat CA créé à l’étape 2.

openssl x509-req- dans le client-req.pem- jours 1000 – CA ca-cert.pem-CAkey ca-clé.pem-set_serial 01 > client-cert1.pem

Signature ok

subject=/C=US/ST=California/L= Campbell/O= Barracuda Networks/OU=Tech Support/CN=barracuda.mydomain.com/emailAddress=test@youremail .com

Obtention de la clé privée CA

Étape 6 – Conversion du fichier PEM au format PKCS # 12

Utilisez la commande suivante pour convertir le « client-cert1.pem « certificat avec « client-key1.pem  » à un fichier d’échange d’informations personnelles (jeton pfx).

openssl pkcs12- export-dans le client-cert1.client clé d’entrée pem1.client-cert1 pem-out.pfx

Entrez le mot de passe d’exportation: secret
Remarque : Comme meilleure pratique, utilisez un compte unique pour ce point d’intégration et accordez-lui le moins de privilèges requis, en coordination avec l’administrateur. Ce compte nécessite des privilèges de LECTURE. Pour plus d’informations, consultez Sécurité pour l’intégration avec d’autres systèmes – Meilleures pratiques.

Vérification – Entrez le mot de passe d’exportation: secret

Étape 7 – Importez le certificat client dans le navigateur

Le certificat client créé ci-dessus doit être envoyé au client pour être importé sur son navigateur.

Write a Comment

Votre adresse e-mail ne sera pas publiée.