Cette page vous permet d'éditer la configuration des certificats de l'autorité de certification. Adaptez l'exemple ci-dessous à vos propres besoins, en faisant particulièrement attention aux champs "Pays" et "Bits".
Commençons par une explications des "CRLs" : ce sont les listes de révocation des certificats. En copiant un certificat CA dans /etc/freeswan/ipsec.d/cacerts, tous les certificats générés par l'autorité de certification seront déclarés valides. Malheureusement, certaines clefs privées peuvent être dévoilées, volontairement ou non, et les certificats du personnel ayant quitté l'entité doivent être invalidéés imméiatement. D'où la necessité des "Listes de Révocation des Certificats" (en anglais CRLs). Les CRLs contiennent les numéros de série de tous les certificats ayant été révoqués.
Après avoir vérifié la validité de la chaîne de confiance X.509, on cherche dans le fichier /etc/freeswan/ipsec.d/crls un CRL généré par le CA qui a signé le certificat. Si le numéro de série du certificat est trouvé, alors la clef publique du certificat est déclarée invalide, et la connexion IPSec sécurisée échoue. Si m'on ne trouve pas de CRL dans le répertoire des CRLs, ou si la date limite du champ "netxUpdate" de la CRL a été atteinte, un avertissement est généré, mais la clef publique est acceptée.
Voici un exemple :
Nom courant | firewall.enterprise.net |
Jours | 3650 |
Jours Crl | 33 |
Bits | 2048 |
Pays | US |
Etat ou province | New-York |
Ville | New-York |
Nom de l'organisation | enterprise |
Nom du service de l'organisation | enterprise |
Adresse email | admin@enterprise.net |
Quelques remarques : le champ "Jours" est mis à la valeur de 10 ans, les valeurs fréquentes du champ 'Bits' sont "1024" ou "2048" (ne pas lui donner une valeur inférieure à 1024), dans le champ "Pays", le code ISO de 2 lettres doit être utilisé.
Une fois que toutes les champs sont remplis, cliquez sur le bouton "Suivant" puis "Appliquer" pour prendre en compte les changements