Création d’une autorité de certification

Maintenant que EJBCA est déployé, nous allons pouvoir accéder à son interface d’administration située à cette adresse : https://votre-serveur.example.com:8443/ejbca/adminweb

Seulement pour vous authentifier vous ne devrez pas rentrer un mot de passe, mais présenter un certificat ! (Eh oui, vous vouliez des certificats ? Vous voilà servi !)

Le certificat en question se trouve sur votre serveur dans les dossiers d’EJCBA, histoire de transférer ça de manière sécurisée vous pouvez faire coté serveur

export JBOSS_HOME=/usr/share/jboss-4.2.3.GA
export JAVA_HOME=/System/Library/Frameworks/JavaVM.framework/Home/
export ANT_OPTS=-Xmx640m

Puis sur votre client :

ant bootstrap

Et de nouveau côté serveur :

INFO  [EARDeployer] Started J2EE application: file:/usr/share/jboss-4.2.3.GA/server/default/deploy/ejbca.ear

Maintenant le certificat superadmin rapatrié vous n’avez qu’à double cliquer dessus pour le charger dans votre trousseau d’accès et l’utiliser dans Safari (pour mémoire, le mot de passe est celui de superadmin.password).

Note : Si vous utilisez Firefox, qui compte parmi les logiciels les mieux intégrés au Mac (mais où est donc passé le point d’ironie du clavier Mac ?) vous devrez rajouter le fichier p12 non pas dans votre trousseau d’accès, mais dans les préférences avancées de chiffrement du dit renard.

Une fois vos navigateurs prêts, il vous suffit de vous rendre à l’adresse d’administration https://votre-serveur.example.com:8443/ejbca/adminweb et sélectionner le certificat client adéquat pour vous authentifier sur l’interface d’administration.

Si vous êtes aussi chanceux que moi, vous arriverez sur une interface en Allemand par défaut, aussi dans ma grande bonté, voici la traduction de « Mes préférences » en Allemand : Meine Einstellungen.

La première chose à faire lorsque vous arrivez dans EJBCA est de démarrer les services, cela se fait via le menu Activation d’AC, le code d’authentification demandé est celui de httpsserver.password.

La seconde chose à faire est de faire en sorte de ne plus avoir à activer les services. Pour cela il faut se rendre l’édition des AC pour éditer votre AC et cocher la case concernant l’autoactivation puis rentrer de nouveau le mot de passe de httpsserver.password dans le champ adéquat puis enregistrer le tout.

Pour créer un certificat utilisateur, vous devrez rajouter une entité et éventuellement un profil type d’entité. Une fois l’entité créée, vous devrez vous rendre sur votre Mac, dans le trousseau d’accès, dans le menu principal de l’application, sous-menu Assistant de certification vous trouverez de quoi « Demander un certificat à une autorité de certification ». Cet assistant va générer un fichier qu’il faudra envoyer sur l’interface publique d’EJBCA via le lien « Create Certificate from CSR », vous y rentrerez le nom commun et mot de passe créé pour l’entité et indiquez où ce trouve le fichier .CertificateSignatureRequest. Lorsque vous validerez le tout, le système téléchargera un fichier .pem contenant votre certification, double cliquez pour l’envoyer dans le trousseau d’accès et supprimez le fichier téléchargé.

Si vous souhaitez utiliser votre certificat utilisateur pour vous connecté à votre interface d’administration, il vous suffit de vous rendre dans la gestion administrative pour gérer les groupes d’accès, leurs droits et leurs membres, identifié par des valeurs drapeau dans le profiles d’entité ou tout simplement avec le numéro de série des certificats émis (vous trouverez cette valeur en recherchant les entités)

Et voilà, votre autorité de certification est fonctionnelle, il ne vous reste plus qu’à vous en servir, cet article s’arrêtera là !

3 réflexions au sujet de « Création d’une autorité de certification »

  1. Ping : Twitted by tiboll

  2. Ping : Tweets that mention Yoann Gini » Création d’une autorité de certification -- Topsy.com

  3. Ping : Twitted by Giiome

Laisser un commentaire