Tutorial / Howto / How-To...

TinyCA est une interface graphique écrite en Perl-GTK2 qui permet de gérer une petite Autorité de Certification (AC) ou "Certificate Authority" (CA). TinyCA s’appuie sur OpenSSL ; il permet de gérer (créer, renouveller, révoquer...) des certificats X509, de les exporter aux formats PEM, DER, PKCS#12, TXT, ZIP....

Ce tutorial va vous montrer comment gérer avec TinyCA votre propre Autorité de Certification.

Couplé avec le logiciel FreeRADIUS, TinyCA permet de pouvoir facilement administrer et gérer des certificats pour authentifier des utilisateurs avec le mode EAP-TLS. Ceci peut être utilisé par exemple pour sécuriser des points d’accès WiFi avec le mode WPA-Entreprise ou WPA2-Entreprise (IEEE 802.11i).

TinyCA-2.0.7.0

La version en cour (tinyca-2.0.7.0) a quelques bugs (problèmes lors de l’export des certificats et clés au format PEM et non sauvegarde des modifications des paramètres des certificats server et client). J’ai envoyé 2 patchs à l’auteur et ils sont en cours d’intégration ! Cf. le fichier CHANGELOG

Configuration de TinyCA>=2.0.7.1


J'attends la prochaine release pour rédiger le tutorial car la version actuelle TinyCA2-0.7.0 n'est pas directement utilisable.

Rq : Mise à jour le 2005/10/22 : mes deux patchs ont été intégrés à la version 0.7.1 de TinyCA... :)

En attendant la prochaine version de TinyCA, voici quelques captures d’écran qui devraient pouvoir vous guider dans les principales étapes.

PNG - 57.3 ko
Création de la CA
PNG - 61.9 ko
Configuration de la CA
PNG - 59.6 ko
Affichage de l’onglet CA
PNG - 85.3 ko
Server Certificate Settings
Modifier le paramètre Extended Key Usage (extendedKeyUsage) : 1.3.6.5.5.7.3.1
PNG - 85.1 ko
Client Certificate Settings
Modifier le paramètre Extended Key Usage (extendedKeyUsage) : 1.3.6.5.5.7.3.2

Attention : les paramètres rentrés pour les requêtes de création d’un certificat serveur ou client (cf. 2 captures d’écran précédentes) ne sont pas sauvegardés quand on appuie sur le bouton [Appliquer] ou [Valider]. En attendant que ce bug soit corrigé, il faut éditer directement les fichiers de TinyCA...

Modifier la fin du fichier  /.TinyCA/pervasive-ca/openssl.cnf et rajouter le paramètre extendedKeyUsage :


[ client_cert ]
basicConstraints = CA:FALSE
nsCertType = client, email, objsign
nsComment = "TinyCA Generated Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ server_cert ]
basicConstraints = CA:FALSE
nsComment = "TinyCA Generated Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
issuerAltName = issuer:copy
subjectAltName = email:copy
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
PNG - 57.8 ko
Requête de création d’un certificat serveur
PNG - 20.2 ko
Signature par la CA d’une requête de création de certificat
PNG - 56 ko
Requête de création d’un certificat client
PNG - 82.4 ko
Affichage de l’onglet Certificats
PNG - 43.8 ko
Affichage de l’onglet Clés
PNG - 62 ko
Affichage de l’onglet Requêtes

Documentation

  • http://azlinch.free.fr/wifi/

Autres Autorités de Certification / Certificate Authority