|
Taille: 2277
Commentaire:
|
Taille: 3175
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 3: | Ligne 3: |
| Ligne 11: | Ligne 12: |
| À noter : éviter d'embêter les nounous à la retraite pour les renouvellements de certificats (sauf si cas de force majeure, bien sûr). L'administrateur de l'organisation (au sens CACert) peut désigner de nouveaux responsables auprès de CACert. Il est cependant nécessaire d'être nounou et de posséder au moins 50 points d'assurance pour pouvoir émettre des certificats adaptés. |
À noter : éviter d'embêter les nounous à la retraite pour les renouvellements de certificats (sauf si cas de force majeure, bien sûr). L'administrateur de l'organisation (au sens CACert) peut désigner de nouveaux responsables auprès de CACert. Il est cependant nécessaire d'être nounou et de posséder au moins 50 points d'assurance pour pouvoir émettre des certificats adaptés. |
| Ligne 14: | Ligne 14: |
| Les dates d'expiration des certificats sont à mettre sur le [[https://tracker.crans.org/projects/sslcerts/|tracker]] dans le projet ''Certificats SSL'', en rappelant le CN (nom du domaine pour le certificat) et les DNS (noms alternatifs). | --(Les dates d'expiration des certificats sont à mettre sur le [[https://tracker.crans.org/projects/sslcerts/|tracker]] dans le projet ''Certificats SSL'', en rappelant le CN (nom du domaine pour le certificat) et les DNS (noms alternatifs).)-- |
| Ligne 16: | Ligne 16: |
| Il est aussi préférable d'indiquer le certificat (chemin ou serveur à contacter) dans le cron {{{check_cert}}} vérifiant les certificats: http://git.crans.org/?p=bcfg2.git;a=blob;f=Python/etc/cron.d/check_cert |
Pensez à ajouter le certificat à la base ldap via gest_crans_lc (programme crans_lc sur zamok: "Modifier une machine existante" / "Certificat" / "Ajouter un nouveau certificat" et coller le PEM du certificat (le truc qui commence par {{{-----BEGIN CERTIFICATE-----}}})). Cela permet avec juste une requête ldap de savoir quels certificats vont bientôt expiré et empêche les utilisateur de l'intranet de supprimer la machine avant que le certificat qui lui est associé ne soit marqué comme révoqué dans la base ldap ou ne soit expiré. Les certificats qui ont été ajouté dansla base ldap sont ensuite accessible sur la machine correspondante dans le sous dossier correspondant de {{{/etc/ssl/crans/}}} ainsi que la chaine de certificat des CA intermédiaire si elle a pu être deviné( voir le fichier {{{/usr/scripts/utils/ldapcertfs.py}}} por ajouter de nouveau Il est aussi préférable d'indiquer le certificat (chemin ou serveur à contacter) dans le cron {{{check_cert}}} vérifiant les certificats: http://git.crans.org/?p=bcfg2.git;a=blob;f=Python/etc/cron.d/check_cert |
| Ligne 20: | Ligne 21: |
| TODO: à réécrire. Ce répertoire contient les fichiers liés aux certificats CAcert : |
TODO: à réécrire. Ce répertoire contient les fichiers liés aux certificats CAcert : |
| Ligne 26: | Ligne 27: |
| C'est le contenu du fichier serveur_csr.pem qu'il faut fournir à CAcert pour signature. Lui et serveur_privatekey.pem ont été générés à l'aide du script csr.sh disponible à l'adresse : http://guillaume.romagny.free.fr/evaldo/csr.sh |
C'est le contenu du fichier serveur_csr.pem qu'il faut fournir à CAcert pour signature. Lui et serveur_privatekey.pem ont été générés à l'aide du script csr.sh disponible à l'adresse : . http://guillaume.romagny.free.fr/evaldo/csr.sh |
| Ligne 31: | Ligne 32: |
| http://wiki.cacert.org/wiki/VhostTaskForce | . http://wiki.cacert.org/wiki/VhostTaskForce |
| Ligne 36: | Ligne 38: |
| Ligne 41: | Ligne 44: |
| https://www.cacert.org/index.php?id=3 | . https://www.cacert.org/index.php?id=3 |
Les certificats SSL des serveurs du CRANS sont signés par CAcert. Plusieurs nounous peuvent désormais demander un tel certificat, au nom de l'association. La liste des responsables actuels est la suivante :
PeBecue (Administrateur)
OlivierIffrig (vieux)
WikiAugust (vieux)
WikiSgnb (vieux)
À noter : éviter d'embêter les nounous à la retraite pour les renouvellements de certificats (sauf si cas de force majeure, bien sûr). L'administrateur de l'organisation (au sens CACert) peut désigner de nouveaux responsables auprès de CACert. Il est cependant nécessaire d'être nounou et de posséder au moins 50 points d'assurance pour pouvoir émettre des certificats adaptés.
Les dates d'expiration des certificats sont à mettre sur le tracker dans le projet Certificats SSL, en rappelant le CN (nom du domaine pour le certificat) et les DNS (noms alternatifs).
Pensez à ajouter le certificat à la base ldap via gest_crans_lc (programme crans_lc sur zamok: "Modifier une machine existante" / "Certificat" / "Ajouter un nouveau certificat" et coller le PEM du certificat (le truc qui commence par -----BEGIN CERTIFICATE-----)). Cela permet avec juste une requête ldap de savoir quels certificats vont bientôt expiré et empêche les utilisateur de l'intranet de supprimer la machine avant que le certificat qui lui est associé ne soit marqué comme révoqué dans la base ldap ou ne soit expiré. Les certificats qui ont été ajouté dansla base ldap sont ensuite accessible sur la machine correspondante dans le sous dossier correspondant de /etc/ssl/crans/ ainsi que la chaine de certificat des CA intermédiaire si elle a pu être deviné( voir le fichier /usr/scripts/utils/ldapcertfs.py por ajouter de nouveau
Il est aussi préférable d'indiquer le certificat (chemin ou serveur à contacter) dans le cron check_cert vérifiant les certificats: http://git.crans.org/?p=bcfg2.git;a=blob;f=Python/etc/cron.d/check_cert
Certificats CAcert
TODO: à réécrire. Ce répertoire contient les fichiers liés aux certificats CAcert :
- les requêtes (serveur_csr.pem)
- clefs (serveur_privatekey.pem)
- certificats (serveur_server.pem)
C'est le contenu du fichier serveur_csr.pem qu'il faut fournir à CAcert pour signature. Lui et serveur_privatekey.pem ont été générés à l'aide du script csr.sh disponible à l'adresse :
qui suit les recommandations de :
Note : le script génère par défaut des clefs de 2048 bits, penser à le modifier en conséquence pour générer des clefs de 4096 bits (ligne 108).
En bonus, les certificats de CAcert :
- root.crt : Class 1 PKI Key (auto-signé)
- class3.crt : Class 3 PKI Key (signé par le Class 1)
- cacert-chain.pem : Les class 3 et class 1 concaténés
Ces certificats sont disponibles à l'adresse :