Vous êtes sur la page 1sur 12

2

TD/TP

CRYPTOGRAPHIE
Travaux pratiques PKI
A.Objectifs
Les objectifs de ces travaux pratiques sont :

1. de manipuler une PKI pour la gnration de certificats de diffrente


nature

2. de scuriser un serveur IIS en mettant en uvre le protocole SSL

3. de scuriser la messagerie par une signature lectronique

B.Cinmatique du TP
Dans ce TP, vous allez jouer alternativement le rle dun tiers de confiance et le
rle du client.

Dans la premire partie Mise en place du PKI , chaque groupe jouera le rle
du tiers de confiance pour crer son autorit de certification.

Dans la partie scurisation du serveur IIS , chaque groupe va jouer le rle du


client et gnrer une demande de certificat SSL quelle enverra au autre groupe
voisin qui deviendra alors Tiers de confiance .. Ce dernier gnrera le
certificat racine, le transmettra au groupe demandeur qui limplmentera dans
son logiciel SSL.

Enfin, dans la dernire partie, un membre de chaque groupe fera une demande
un second dun certificat personnel. Il sera ensuite intgr dans le systme et
la messagerie sera configure pour envoyer des mails signs.

C.Mise en place du PKI


1. Prsentation

Nous allons utiliser le logiciel Crypto4.

Dans cette premire partie, nous allons apprendre manipuler ce logiciel, puis
gnrer le certificat racine qui permettra de signer ensuite tous les certificats
qui seront demands.

Imaginez que vous tes ladministrateur dune socit de PKI. Commencez par
dcrire votre socit en renseignant les informations qui safficheront dans votre
certificat racine :

Country = France

Common name =.............................. (Nom et catgorie de votre certificat)

Organization =.........................................................(Nom de votre socit)

Organization unit = ..........................Nom du service dlivrant le certificat)


ii
2. Gnration du certificat racine

Lancer le logiciel PKICertGen.exe :

Affichage Action / Question

1. Que voulez-vous gnrer ?

2. Certif root

3. Expliquez la diffrence entre


ces 2 options ? Laquelle
retenez-vous ?

4. Autosign non reconu par


navigateur

iii
Prendre la premire option

Renseignez les informations en


fonction de celles donnes au dbut
de ce TP

Parcourez les diffrents choix avec


la souris des options sur les 2
onglets.

5. Quel type de certificat allez-


vous gnrer ?

6. Issues certificate

7. Faut-il une priode de validit


courte ??

Non longue car il va permettre de


generer les certifs clients

iv
Vrifiez les informations

Cliquez sur Advanced

Regardez et commentez les


diffrents onglets

Ouvrez longlet Public Key Size .

8. Une clef de 512 bits est-elle


suffisante ?

9. Non 2048

10. Proposez une bonne


valeur. Pourquoi ne pas
utiliser une clef de 4096 bits ?

Trop lourd

Cochez les 2 premires options.

11. Quel sera le certificat


que vous publierez ?

12. .cer

13. A quoi sert le mot de


passe ?

14. Proteger lacces

15. O devez-vous stocker


la clef prive ? Pourquoi ?

16. Bunker car a proteger

v
D.Scurisation dun serveur WEB (1re mthode)
1) Prparation

Il faut au pralable dclarer le nom de domaine du site WEB scuriser. Pour


cela, nous le dclarerons dans le fichier HOST de Windows.

Ouvrez le fichier HOST C:\WINDOWS\system32\drivers\etc\hosts et ajouter


la ligne suivante :

127.0.0.1 www.sitegroupeN.fr o N est le numro de votre groupe.

Ce nom correspond au nom du common name

Le but est de generer une demande de certificat CSR ( certificate self request)

2) Demande de certificat

Ouvrez loutil dadministration IIS :

Slectionnez le Site WEB par dfaut,


faites un clic droit et choisissez
Proprits :

Donnez le nom de votre de votre site


dans la zone Description

Allez dans longlet Scurit de


rpertoire

vi
Cliquez sur Certificat de serveur

Demander la cration dun certificat,


puis renseignez les diffrents
champs chaque tape de
lassistant.

Pourquoi demander une longueur de


clef ?

Renseignez les informations de votre


entreprise

Bien mettre ici le nom du site


WEB authentifier

vii
Stockez la demande de certificat sur
une clef USB, faites Suivant, vrifiez
les informations et terminez.

3) Gnration du certificat serveur

Donnez votre clef USB au groupe situ votre droite : il jouera le rle du tiers
de confiance.

Vous-mmes en recevant la clef du groupe de votre gauche jouerez le rle de


son tiers de confiance.

Ouvre PKI Generator et faites la gnration du certificat SSL que vous stockerez
sur la clef USB pour le donner au groupe situ votre gauche.

4) Importation du certificat SSL

Importer le certificat reu par le


groupe de votre droite dans votre
serveur IIS

Affichez le certificat serveur import. 17. Que constatez-vous ?


Pourquoi ?

18. Quelle dmarche devait


vous faire ? Auprs de qui ?

19. Que devez-vous faire


ensuite ?

viii
5) Installation du certificat racine

Double cliquez sur le


certificat racine, puis
cliquez sur Installer le
certificat

Choisissez le magasin
Autorit de certification
racines de confiance

Vous devez arriver cet


affichage.

20. Laccepter
signifie quoi ?

ix
E. Scurisation dun serveur WEB (2me mthode)
1. Supprimer le certificat sur le serveur IIS

2. Demandez votre tiers de confiance une cration de certificat SSL sans avoir
recours la CSR.

3. Importation du certificat
Ouvrez la console MMC

Ajoutez le composant enfichable


certificats sur le compte de
lordinateur.

Faites clic droit toutes les tches /


importer un certificat dans le
magasin certificats personnels

Sous IIS, dans longlet scurit /


certificat serveur , choisissez
Attribuez un certificat existant et
choisissez le certificat.

Le certificat est import

x
F. Signature lectronique de mails
Si vous tes le demandeur Si vous tes le tiers de confiance

Faite une demande au groupe de Le groupe de gauche vous fait une


droite dun certificat lectronique pour demande de mails signs avec une
signer des mails. Vous leur indiquerez adresse mail.
une adresse mail.
21. A laide de Crypto PKI,
Le groupe de droite vous remettra un gnrer un certificat
certificat PFX et le mot de passe de la lectronique correspondant et
clef prive. transmettez au demander le
certificat PFX ainsi que le mot de
Intgrer le dans votre magasin de passe de la clef prive.
certificat sur votre poste de travail.

Ouvrez Outlook, crer un mail, allez


dans fichier/Proprits et choisissez
votre nouveau certificat :

Envoyer le mail et attendez le retour.


Le mail est-il bien sign ?

xi
REPONSES REPORTER

1...........................................................................................................

2...........................................................................................................

.............................................................................................................

3...........................................................................................................

.............................................................................................................

4...........................................................................................................

.............................................................................................................

5...........................................................................................................

.............................................................................................................

6...........................................................................................................

.............................................................................................................

7...........................................................................................................

.............................................................................................................

8...........................................................................................................

.............................................................................................................

9...........................................................................................................

.............................................................................................................

10.........................................................................................................

.............................................................................................................

11.........................................................................................................

.............................................................................................................

12.........................................................................................................

.............................................................................................................

13.........................................................................................................

.............................................................................................................

14.........................................................................................................

.............................................................................................................
xii