pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » logiciels » openssl
Trace:
informatique:logiciels:openssl

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
informatique:logiciels:openssl [2017/11/13 09:10] – [Afficher des informations] affichage du CN pteuinformatique:logiciels:openssl [2024/12/20 07:40] (current) – [Création de la CRL] pteu
Line 1: Line 1:
- 
 ======OpenSSL====== ======OpenSSL======
  
Line 22: Line 21:
 Lire les informations d'un fichier local : Lire les informations d'un fichier local :
 <code bash> <code bash>
 +# afficher le contenu de la requête
 +openssl req -noout -text -verify -in request.csr
 +# ou en plus court
 +openssl req -noout -subject -verify -in request.csr
 +
 # afficher l'ensemble des infos du certificat # afficher l'ensemble des infos du certificat
 openssl x509 -noout -in fichier.pem -text openssl x509 -noout -in fichier.pem -text
Line 71: Line 75:
     Serial Number: 0007     Serial Number: 0007
         Revocation Date: Nov  6 14:23:40 2017 GMT         Revocation Date: Nov  6 14:23:40 2017 GMT
 +</code>
 +
 +
 +=====Révoquer un certificat=====
 +
 +A faire sur la CA évidemment ; cela permet d'invalider un certificat qui n'a pas atteint sa date d'expiration.
 +<code bash>
 +openssl ca -config openssl.cnf -revoke fired-employee.pem
 +</code>
 +
 +Puis il faut re-générer la CRL.
 +
 +
 +=====Création de la CRL=====
 +
 +La liste de révocation et un fichier signé par la CA, qui contient tous les certificats révoqués ; il est à mettre à disposition de tous afin que chacun puisse connaître et rejeter les certificats qui ont été révoqués.
 +
 +<code bash>
 +openssl ca -config openssl.cnf -gencrl -out crl.pem
 +</code>
 +
 +Pour avoir une version texte de cette liste, dans crl.txt par exemple :
 +<code bash>
 +openssl crl -inform PEM -text -noout -in crl.pem >crl.txt
 +</code>
 +=====Revalider un certificat révoqué=====
 +
 +<code bash>
 +# Récupérer son SN
 +SN=$(openssl x509 -noout -in revalid-cert.pem -serial | cut -d"=" -f2)
 +
 +# Vérifier que le certificat figure dans l'index et que c'est bien le bon
 +grep -n "$SN" index.txt
 +666:R       301119144232Z   240916120752Z   149F    unknown /C=FR/ST=75/L=PARIS/O=BIGCORP/OU=DSI/CN=KALILIN/emailAddress=notfired-dude@bigcorp.com
 +
 +# Modifier le flag "R" (revocked) par "V" (valid), et (optionnel je crois) remplacer le 3e champ (codant la date de révocation) par une tabulation
 +sed -i -e '/'$SN'/s/^R/V/' -e '/'$SN'/s/240916120752Z/\t/' index.txt
 +#V       301119144232Z                   149F    unknown /C=FR/ST=75/L=PARIS/O=BIGCORP/OU=DSI/CN=KALILIN/emailAddress=notfired-dude@bigcorp.com
 +
 +# Regénérer la CRL
 +openssl ca -config openssl.cnf -gencrl -out crl.pem
 </code> </code>
informatique/logiciels/openssl.1510564205.txt.gz · Last modified: 2017/11/13 09:10 (external edit)