Une Infrastructure à Clés Publiques (PKI) est une méthode pour valider l'authenticité d'une entité autrement inconnue au travers de réseaux qui ne sont pas de confiance. La PKI fonctionne en établissant une chaîne de confiance, plutôt que de faire confiance individuellement à chaque hôte ou entité de manière explicite. Pour qu'un certificat présenté par une entité distante soit reconnu, le certificat doit présenter une chaîne complète de certificats qui peuvent être validé en utilisant le certificat racine d'une autorité de certification (CA) en laquelle la machine locale a confiance.
L'établissement de la confiance avec une CA nécessite de valider des choses comme l'adresse de la compagnie, la propriété, les informations de contact, etc, et de s'assurer que la CA a suivi les bonnes pratiques, comme des audits de sécurité périodiques par des enquêteurs indépendants et le maintient d'une liste de révocation de certificats toujours disponible. Ceci est bien au delà de la portée de BLFS (comme pour la plupart des distributions Linux). Le magasin de certificats fournit ici est emprunté à la fondation Mozilla, qui ont établit une politique d'inclusion très stricte décrite ici.
Ce paquet est connu pour se construire correctement sur une plateforme LFS-8.2.
Téléchargement (HTTP) : https://github.com/djlucas/make-ca/archive/v0.7/make-ca-0.7.tar.gz
Taille du téléchargement : 36 Ko
Somme MD5 du téléchargement : 4f180b9bf3b11f29d6a79e6022aeae23
Estimation de l'espace disque requis : 6.6 Mo (avec toutes les dépendances à l'exécution)
Estimation du temps de construction : 0.3 SBU (avec toutes les dépendances à l'exécution)
Java-9.0.4 ou OpenJDK-9.0.4, NSS-3.35 et p11-kit-0.23.9
Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/make-ca
Le script make-ca adaptera les
certificats inclus dans le fichier certdata.txt
pour l'utiliser dans de multiples
magasins de certificats (si les applications associées sont
présentes sur le système). De plus, tout certificat local stocké
dans /etc/ssl/local
sera importé dans
les magasins de certificats. Les certificats de ce répertoire
devraient être stockés sous forme de certificats de confiance
OpenSSL encodé en PEM.
Pour créer un certificat de confiance OpenSSL depuis un fichier normal encodé en
PEM, vous devrez ajouter des arguments « trust » à la
commande openssl et
créer un nouveau certificat. Il y a trois types de confiances
reconnues par le script make-ca : SSL/TLS, S/Mime et la signature
de code. Par exemple, si vous souhaitez utiliser les racines
CAcert pour que
les deux soient de confiance pour ces trois rôles, les commandes
suivantes créeront des certificats de confiance OpenSSL approprié
(à lancer en tant qu'utilisateur root
) :
install -vdm755 /etc/ssl/local && wget http://www.cacert.org/certs/root.crt && wget http://www.cacert.org/certs/class3.crt && openssl x509 -in root.crt -text -fingerprint -setalias "CAcert Class 1 root" \ -addtrust serverAuth -addtrust emailProtection -addtrust codeSigning \ > /etc/ssl/local/CAcert_Class_1_root.pem && openssl x509 -in class3.crt -text -fingerprint -setalias "CAcert Class 3 root" \ -addtrust serverAuth -addtrust emailProtection -addtrust codeSigning \ > /etc/ssl/local/CAcert_Class_3_root.pem
Si un argument trust en omis, le certificat n'est ni reconnu ni
rejeté pour ce rôle. Les clients qui utilisent OpenSSL ou NSS rencontrant ce certificat renverront un
avertissement à l'utilisateur . Les clients qui utilisent
GnuTLS sans le support de
p11-kit ne sont pas conscient des
certificats de confiance. Pour inclure cette CA dans le fichier
ca-bundle.crt (utilisé par GnuTLS), il doit avoir la confiance
serverAuth
. De plus, pour interdire un
certificat pour une utilisation particulière, remplacez le
paramètre -addtrust
par le
paramètre -addreject
.
Pour installer les divers magasins de certificats, installez le
script make-ca au bon endroit. En
tant qu'utilisateur root
:
make install
En tant qu'utilisateur root
,
téléchargez et mettez à jour le magasin de certificats avec la
commande suivante :
Si vous lancez le script une deuxième fois avec la même version
de certdata.txt
, par exemple pour
ajouter des magasins supplémentaires parce que le logiciel requis
est installé, ajoutez l'option -f
à la ligne de commande. Si vous
créez un paquet, lancez make-ca
--help pour voir toutes les options de la ligne
de commande disponibles.
/usr/sbin/make-ca -g
Vous devriez mettre à jour régulièrement le magasin avec la
commande ci-dessus soit manuellement, soit via un timer
systemd. Un timer est installé dans /etc/systemd/system/update-pki.timer
et s'il est
activé, il vérifiera les mises à jour une fois par semaine.
Le fichier certdata.txt
fournit par
make-ca est obtenu à partir de la branche mozilla-release, et est
modifié pour fournir une simple révision horodatée. Ce sera la
bonne version pour la plupart des systèmes. Il y a cependant
plusieurs variantes du fichier disponibles à l'utilisation qui
peuvent être préférés pour une raison ou une autre, incluses dans
les produits Mozilla dans ce livre. RedHat et OpenSUSE par exemple
utilisent la version incluse dans NSS-3.35. Des emplacements de téléchargement
supplémentaires sont disponibles :
Mozilla Release (la version fournie par BLFS) : https://hg.mozilla.org/releases/mozilla-release/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt
NSS (c'est la dernière version disponible) : https://hg.mozilla.org/projects/nss/raw-file/tip/lib/ckfw/builtins/certdata.txt
Mozilla Central : https://hg.mozilla.org/mozilla-central/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt
Mozilla Beta : https://hg.mozilla.org/releases/mozilla-beta/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt
Mozilla Aurora : https://hg.mozilla.org/releases/mozilla-aurora/raw-file/default/security/nss/lib/ckfw/builtins/certdata.txt
Last updated on 2018-02-28 17:11:20 +0100