Help

Edition du Certificat VPN de l'autorité de certification

Cette page vous permet d'éditer la configuration des certificats de l'autorité de certification. Adaptez l'exemple ci-dessous à vos propres besoins, en faisant particulièrement attention aux champs "Pays" et "Bits".

Commençons par une explications des "CRLs" : ce sont les listes de révocation des certificats. En copiant un certificat CA dans /etc/freeswan/ipsec.d/cacerts, tous les certificats générés par l'autorité de certification seront déclarés valides. Malheureusement, certaines clefs privées peuvent être dévoilées, volontairement ou non, et les certificats du personnel ayant quitté l'entité doivent être invalidéés imméiatement. D'où la necessité des "Listes de Révocation des Certificats" (en anglais CRLs). Les CRLs contiennent les numéros de série de tous les certificats ayant été révoqués.

Après avoir vérifié la validité de la chaîne de confiance X.509, on cherche dans le fichier /etc/freeswan/ipsec.d/crls un CRL généré par le CA qui a signé le certificat. Si le numéro de série du certificat est trouvé, alors la clef publique du certificat est déclarée invalide, et la connexion IPSec sécurisée échoue. Si m'on ne trouve pas de CRL dans le répertoire des CRLs, ou si la date limite du champ "netxUpdate" de la CRL a été atteinte, un avertissement est généré, mais la clef publique est acceptée.

Voici un exemple :

Nom courant firewall.enterprise.net
Jours 3650
Jours Crl 33
Bits 2048
Pays US
Etat ou province New-York
Ville New-York
Nom de l'organisation enterprise
Nom du service de l'organisation enterprise
Adresse email admin@enterprise.net

Quelques remarques : le champ "Jours" est mis à la valeur de 10 ans, les valeurs fréquentes du champ 'Bits' sont "1024" ou "2048" (ne pas lui donner une valeur inférieure à 1024), dans le champ "Pays", le code ISO de 2 lettres doit être utilisé.

Une fois que toutes les champs sont remplis, cliquez sur le bouton "Suivant" puis "Appliquer" pour prendre en compte les changements