Modification de PKI : Installation de DogTag avec backend LDAP

{{DovConnect}}{{#description2:Documentation retraçant la réalisation d'une PKI s'appuyant sur DogTag avec backend LDAP en utilisant les composants PKI, OCSP, SCEP, KRA}}
{{ArticleHead|Adadov}}

Une bonne PKI n'est pas forcément utile pour tout le monde, la plupart du temps une installation avec les paramètres par défaut suffira. Vous trouverez pleins de documentations sur le net pour ces cas.
Mais dans certains cas, il faut aller plus loin ... Que ce soit par challenge personnel ou besoin précis, les choses se corsent vite ... Documentations manquantes, petites erreurs et autres dysfonctionnement.

On peut vite passer des heures à s'arracher les cheveux.

Donc après avoir agravé mon état de stress, je documente ici mon travail afin de m'aider moi tout en essayant d'éviter le burnout à d'autres par la même occasion.

== Backend LDAP sur 389 DS ==
Pour les LDAP, je ne vais pas m'étendre ici je ferais une documentation séparée.

Nous utilisons actuellement 3 LDAP [https://directory.fedoraproject.org/ 389 DS] en réplication multi-maitres.

Après de nombreux tests avec des bases de données séparées et des sous-suffixe, je suis revenu au suffixe unique qui simplifie grandement le déploiement (et le redéploiment ...)

=== Fichier de déploiement LDAP ===
Voici le fichier de configuration des instances utilisé pour le stockage de notre PKI:<br>
[[Installation d'un PKI DogTag avec backend LDAP/ldap.cfg | Fichier de déploiement du LDAP: ldap.cfg]]

Ce fichier est fait pour être modifié via sed avant son utilisation.

On trouve 4 balises à remplacer dans ce fichier:
* '''##NUM##''' : Le numéro du LDAP afin de pouvoir déployer facilement ldap01 ldap02 ldap03 ''...''
* '''##SUFFIX##''' : Le suffix principal ou basedn
* '''##PASSWD##''':  Le password du DirectoryManager
*'''##REPLPASSWD##''' : Le password du ReplicationManager

== Déploiement de la PKI ==
J'ai choisi de limiter le déploiement initial aux services suivants:

* '''CA''': en même temps c'est le cœur du sujet
* '''OCSP''': Afin de fournir en live aux serveurs les statuts des certificats
* '''KRA''': Pour faciliter la gestion des clés
Ce petit ensemble m'a déjà pris plusieurs semaines de tests et recherches pour obtenir un résultat qui me convienne et qui fonctionne ... Vous verrez en bas quelques bugs rencontrés ...

Le certificat racine est externe, signé par une autre CA stockée hors ligne afin de la sécurisée.

Le certificat est importé automatiquement lors du déploiement, il se trouve dans le fichier {{Path|pki-ecc.p12}} avec sa chaine complète.

=== Description du fichier de déploiement ===

====Variables personnalisées ====
<syntaxhighlight lang="ini">
 ldap_host = ldap.exemple.com
 ldap_port = 389
 secdomain_name = secdomain
 secdomain_user = secdomadmin
 basedn = dc=pki,dc=exemple.com
 pki_dns_domainname = exemple.com
</syntaxhighlight>

====Configuration des certificats====
Pour chaque certificats on peut définir les paramètes suivant afin de les customiser comme on veut:
 pki_ca_signing_nickname
Alias utilisé dans NSS DB
 pki_ca_signing_key_size
Taille de la clé (pour une externe, elle doit aussi correspondre)

*'''Pour RSA''': 1024, 2048, 3072, 4096 

*'''Pour ECC''': nitsp256, nitsp384, nitsp521

 pki_ca_signing_key_type
Méthode chiffrement utilisée

'''rsa''' ou '''ecc'''
 pki_ca_signing_key_algorithm
Type de signature utilisée pour la clé
 pki_ca_signing_signing_algorithm
Encodage utilisée par la clé lorsqu'elle signe un certificat
 pki_ca_signing_subject_dn
DN du certificat

Ce qui donne pour un certificat RSA:
 pki_transport_nickname = pki_kra_transport
 pki_transport_key_size = 2048
 pki_transport_key_type = rsa
 pki_transport_key_algorithm = SHA512withRSA
 pki_transport_signing_algorithm = SHA512withRSA
Et pour un certificat ECC:
 pki_audit_signing_nickname = pki_kra_audit_sign
 pki_audit_signing_key_size = nistp521
 pki_audit_signing_key_type = ecc
 pki_audit_signing_key_algorithm = SHA512withEC
 pki_audit_signing_signing_algorithm = SHA512withEC

====Configuration de l'instance====
 pki_hostname = pki.exemple.com
 pki_https_port = 8443
 pki_http_port = 8080
 pki_instance_name = pki-tomcat

==== Configuration des certificats à importer ====
 pki_import_system_certs = True
 pki_import_admin_cert = False

==== Configuration du compte administrateur ====
 pki_admin_uid = caadmin
 pki_admin_name = %(pki_admin_uid)s
 pki_admin_email = %(pki_admin_name)s@%(pki_dns_domainname)s
 pki_admin_nickname = %(pki_admin_uid)s
 pki_admin_subject_dn = cn = PKI Admin, o = %(pki_security_domain_name)s

==== Configuration du domaine de sécurité ====
 pki_security_domain_name = %(secdomain_name)s
 pki_security_domain_user = %(secdomain_user)s

==== Configuration du serveur LDAP ====
 pki_ds_hostname = %(ldap_host)s
 pki_ds_ldap_port = %(ldap_port)s
 pki_ds_secure_connection = False
 pki_ds_base_dn = dc=ca,%(basedn)s
 pki_ds_bind_dn = cn=directorymanager
 pki_ds_database = userroot
 pki_ds_create_new_db = False
 pki_ds_remove_data = True

==== Configuration du partage d'accès ====
 pki_share_db = True
 pki_share_dbuser_dn = uid=pkidbuser, ou=people, dc=ca, %(basedn)s

==== Configurations propres à la CA ====
 pki_existing = True
</syntaxhighlight>
<syntaxhighlight lang="ini">
 pki_random_serial_numbers_enable = True
</syntaxhighlight>
<syntaxhighlight lang="ini">
 pki_pkcs12_path = /root/pki-ecc.p12

=== Import du certificat racine ===
Comme dit précédemment, mon certificat racine vient d'une autre CA.

Il nous faut donc importer tout ça pour que notre déploiement se passe le mieux possible.

On initialise le stockage de certificats de notre utilisateur local, puis on importe la chaine de la CA dedans.

'''Attention, vous importerez aussi la clé privé de la CA, pensez à la supprimer ou réinitialiser votre stockage après l'installation !'''
{{LxTerm|text=pki client init --force
pki pkcs12 import --pkcs12 pki-ecc.p12 --password Secret.123}}

===Installation de la CA===
{{LxTerm|text=pkispawn -f ca.cfg -s CA -v}}

===Installation de la KRA===
{{LxTerm|text=pkispawn -f ca.cfg -s KRA -v}}

===Installation d'OCSP===
{{LxTerm|text=pkispawn -f ca.cfg -s OCSP -v}}

===Installation d'ACME===
Pour me simplifier l'installation j'ai préconfiguré les 4 fichiers ci-dessous et le script les envoie sur le serveur pendant le déploiement d'ACME.

====Fichier database.conf====
<syntaxhighlight lang="ini">
class=org.dogtagpki.acme.database.DSDatabase
url=ldap://ldap.exemple.com:389
authType=BasicAuth
bindDN=cn=directorymanager
bindPassword=
baseDN=dc=acme,dc=pki,dc=exemple,dc=com
</syntaxhighlight>

====Fichier realm.conf====
<syntaxhighlight lang="ini">
class=org.dogtagpki.acme.realm.DSRealm
url=ldap://ldap.exemple.com:389
authType=BasicAuth
bindDN=cn=directorymanager
bindPassword=
usersDN=ou=people,dc=ca,dc=pki,dc=exemple,dc=com
groupsDN=ou=groups,dc=ca,dc=pki,dc=exemple,dc=com
</syntaxhighlight>

==== Fichier issuer.conf ====
<syntaxhighlight lang="ini">
class=org.dogtagpki.acme.issuer.PKIIssuer
url=https://pki.exemple.com:8443
profile=acmeServerCert
username=
password=
</syntaxhighlight>

====Fichier metadata.conf====
<syntaxhighlight lang="ini">
termsOfService=https://pki.exemple.com/acme/tos.pdf
website=https://pki.exemple.com
caaIdentities=exemple.com
externalAccountRequired=false
</syntaxhighlight>

====Script d'installation====
Le script d'installation va mettre en place les fichiers préconfigurés et initialiser le LDAP avec les fichiers LDIF fournis.



Il nécessite d'avoir un fichier {{Path|~/.pwd/directorymanager}} contenant le mot de passe du directory manager.

<syntaxhighlight lang="bash">
#!/usr/bin/bash

DGHOST=pki.exemple.com
INSTANCE=pki-tomcat
LDAPHOST=ldap.exemple.com
LDAPPORT=389
BASEDN=dc=exemple,dc=com
SUFFIX=acme

ssh root@${DGHOST} pki-server acme-create -i ${INSTANCE}
scp *.conf root@${DGHOST}:/etc/pki/${INSTANCE}/acme/
cat <<"EOF" | ssh root@${DGHOST} 'bash'
cat /etc/pki/${INSTANCE}/acme/database/ds/schema.ldif    {{!}} ldapadd -H ldap://${LDAPHOST}:${LDAPPORT} -D cn=directorymanager -y ~/.pwd/directorymanager -c -x
cat /etc/pki/${INSTANCE}/acme/database/ds/create.ldif    {{!}} sed -e "s/dc=example,dc=com/${BASEDN}/" \
    -e 's/{instanceId}/${INSTANCE}/g' \
    -e "s/{database}/userroot/" \
    -e "s/{rootSuffix}/dc=${SUFFIX},dc=pki,${BASEDN}/" {{!}}ldapadd -H ldap://${LDAPHOST}:${LDAPPORT} -D cn=directorymanager -y ~/.pwd/directorymanager -c -x
cat /etc/pki/${INSTANCE}/acme/realm/ds/create.ldif       {{!}} sed -e "s/dc=example,dc=com/${BASEDN}/" \
    -e 's/{instanceId}/${INSTANCE}/g' \
    -e "s/{database}/userroot/" \
    -e "s/{rootSuffix}/dc=${SUFFIX},dc=pki,${BASEDN}/" {{!}}ldapadd -H ldap://${LDAPHOST}:${LDAPPORT} -D cn=directorymanager -y ~/.pwd/directorymanager -c -x
cat /etc/pki/${INSTANCE}/acme/database/ds/index.ldif     {{!}} sed -e "s/dc=example,dc=com/${BASEDN}/" \
    -e 's/{instanceId}/${INSTANCE}/g' \
    -e "s/{database}/userroot/" \
    -e "s/{rootSuffix}/dc=${SUFFIX},dc=pki,${BASEDN}/" {{!}}ldapadd -H ldap://${LDAPHOST}:${LDAPPORT} -D cn=directorymanager -y ~/.pwd/directorymanager -c -x
cat /etc/pki/${INSTANCE}/acme/database/ds/indextask.ldif {{!}} sed -e "s/dc=example,dc=com/${BASEDN}/" \
    -e 's/{instanceId}/${INSTANCE}/g' \
    -e "s/{database}/userroot/" \
    -e "s/{rootSuffix}/dc=${suffix},dc=pki,${BASEDN}/" {{!}}ldapadd -H ldap://${LDAPHOST}:${LDAPPORT} -D cn=directorymanager -y ~/.pwd/directorymanager -c -x
pki-server acme-deploy -i ${INSTANCE}
EOF
</syntaxhighlight>

===Fichier de déploiement de la PKI===
J'ai pris le parti d'un fichier unique car j'ai écris un script de déploiement automatique pour m'éviter l'internement à force de réinstallation, mais vous pouvez tout aussi bien le séparer.

Le fichier complet est disponible ici: [[Installation d'un PKI DogTag avec backend LDAP/ca.cfg | ca.cfg]]

==Configuration de la CA==

===Création d'un compte administrateur supplémentaire===
{{LxTerm|text=pk12util -i .dogtag/dg-pki/ca_admin_cert.p12 -d .dogtag/nssdb/
alias pki='\pki -n caadmin'
pki ca user add admin2 --fullName "Second Admin"
pki kra user add admin2 --fullName "Second Admin"
pki ocsp user add admin2 --fullName "Second Admin"
pki ca group member add "Administrators" admin2
pki ca group member add "Enterprise OCSP Administrators" admin2
pki ca group member add "Enterprise KRA Administrators" admin2
pki ca group member add "Enterprise CA Administrators" admin2
pki ca group member add "Certificate Manager Agents" admin2
pki ocsp group member add "Online Certificate Status Manager Agents" admin2
pki kra group member add "Data Recovery Manager Agents" admin2}}

===Ajout de profils supplémentaires===
Pour ajouter un profil, il y a plusieurs informations à ajouter:

*D'abord importer le fichier, le placer dans {{Path|/etc/pki/pki-dogtag/ca/profiles/ca/}}
* Déclarer le profil dans le fichier CS.cfg en ajoutant les lignes suivantes:
<syntaxhighlight lang="ini">
profile.[profilename].class_id=caEnrollImpl
profile.[profilename].config=/var/lib/pki/dogtag-pki/ca/profiles/ca/[profilename].cfg
</syntaxhighlight>
*Ajouter dans la liste située dans CS.cfg ce nouveau profil (la place dans la liste fait la place sur l'interface web
<syntaxhighlight lang="ini">
profile.list=[profilename],[...]
</syntaxhighlight>Plusieurs profils personnalisés sont [[Installation d'une PKI DogTag avec backend LDAP#Profils de certificats personalisés|disponibles ici]]

===Publication des certificats dans LDAP===
Voici les entrées modifiées dans {{Path|/etc/pki/pki-dogtag/ca/CS.cfg}} pour activer la publication des certificats dans le LDAP.

Publication de la CRL au démarrage:<syntaxhighlight lang="ini">
ca.crl.MasterCRL.publishOnStart=true
</syntaxhighlight>Cette option est obligatoire pour que la règle LdapCrlRule fonctionne:<syntaxhighlight lang="ini">
ca.publish.createOwnDNEntry=true
</syntaxhighlight>Pour activer les règles il faut passer à true les variables de configurations suivantes:<syntaxhighlight lang="ini">
ca.publish.rule.instance.LdapCaCertRule.enable=true
ca.publish.rule.instance.LdapCrlRule.enable=true
ca.publish.rule.instance.LdapUserCertRule.enable=true
ca.publish.rule.instance.LdapXCertRule.enable=true
ca.publish.rule.instance.ocsprule-[...]-8443.enable=true
</syntaxhighlight>Pour activer toutes les règles un petit coup de sed suffit 
{{LxTerm|text=sed -i -r 's/(ca\.publish\.rule\.instance\.[^.]*\.enable=)false/\1true/' /etc/pki/pki-dogtag/ca/CS.cfg}}

===Configuration de SCEP===
Pour SCEP j'ai cherché pendant un bon moment pour le faire fonctionner (et je cherche encore a comprendre pourquoi il bug avec iLO ...)

Mais pour l'activer il suffit de modifier les options suivantes:<syntaxhighlight lang="ini">
ca.scep.enable=true
</syntaxhighlight>Vous pouvez modifier les algorithms avec les options suivantes:<syntaxhighlight lang="ini">
ca.scep.allowedEncryptionAlgorithms=DES3
ca.scep.allowedHashAlgorithms=SHA256,SHA512
ca.scep.encryptionAlgorithm=DES3
ca.scep.hashAlgorithm=SHA256
ca.scep.nonceSizeLimit=16
</syntaxhighlight>Puis il faut '''surtout''' corriger le bug voir [[Installation de PKI DogTag-LDAP avec CA, KRA et OCSP#SCEP: le listener qui ne fonctionne pas ...|SCEP: le listener qui ne fonctionne pas]]

===Notifications par email===
Configurer le serveur SMTP à utiliser dans ca/CS.cfg:
 smtp.host=smtp.exemple.com
 smtp.port=25

==Installation de certmonger sur un client==

===Création d'un compte pour certmonger===
Ce script créra automatiquement un utilisateur certmonger avec les droits nécessaires ainsi que son certificat.<syntaxhighlight lang="bash">
#!/usr/bin/env bash

PASSWD=123456

pki ca user add certmonger --fullName "Certmonger Agent"
pki ca group member add "Certificate Manager Agents" certmonger

REQ=$(pki client-cert-request UID=certmonger --curve nitsp384 | grep 'Request ID:' | awk -F: '{print $2}')
SERIAL=$(pki ca-cert request approve ${REQ} --force | grep 'Certificate ID:' | awk -F: '{print $2}')

pki ca user cert add certmonger --serial ${SERIAL}
pki client-cert-import certmonger --serial ${SERIAL}
pki pkcs12-cert-import certmonger --pkcs12-file certmonger.p12 --pkcs12-password ${PASSWD}

</syntaxhighlight>

===Configuration de la CA dans certmonger===
Là je vous mets directement mon script, il est assez simple mais très efficace.{{Collapse top|deploy_certmonger.sh|expand=0}}
<syntaxhighlight lang="bash">
#!/usr/bin/env bash

host=$1

CERT=certmonger.p12

ssh pki.exemple.com 'certutil -d /etc/pki/pki-tomcat/alias/ -L -n root_ca -a' > root_ca.pem
ssh pki.exemple.com 'certutil -d /etc/pki/pki-tomcat/alias/ -L -n pki_root_ca -a' > pki_root_ca.pem

openssl pkcs12 -in ${CERT} -passin pass:Secret.123 -nodes -nocerts > pkiadmin.key
openssl pkcs12 -in ${CERT} -passin pass:Secret.123 -nokeys > pkiadmin.pem

scp ${CERT} root_ca.pem pki_root_ca.pem pkiadmin.key pkiadmin.pem pwdfile.txt ${host}:
ssh ${host} 'mkdir -p $HOME/.dogtag/getcert'

cat <<"EOF" | ssh $host 'cat > /tmp/sh; sh /tmp/sh; rm -f /tmp/sh'

    mv root_ca.pem pki_root_ca.pem /etc/pki/ca-trust/source/anchors/

    mv pkiadmin.key $HOME/.dogtag/getcert/pkiadmin.key 
    mv pkiadmin.pem $HOME/.dogtag/getcert/pkiadmin.pem
      
    chmod 400 $HOME/.dogtag/getcert/pkiadmin.key
    chmod 644 $HOME/.dogtag/getcert/pkiadmin.pem
    
    update-ca-trust

    getcert add-ca -c dogtag -e '/usr/libexec/certmonger/dogtag-submit -c /root/.dogtag/getcert/pkiadmin.pem -k /root/.dogtag/getcert/pkiadmin.key -E https://pki.exemple.com:8443/ca/ee/ca -A https://pki.exemple.com:8443/ca/agent/ca -T caAgentServerCertWithAltName -a'
EOF
</syntaxhighlight>
{{Collapse bottom}}

===Exemple: Requête de certificat===
Requérir un certificat qui sera placé en deux fichiers (clé et certificat)
{{LxTerm|text=getcert request -f certificate.cert -k certificate.key -D $(hostname) -D $(hostname -s) -c dogtag -I $(hostname -s)}}
Requérir un certificat qui sera placé dans une DB NSS
{{LxTerm|text=getcert request -c dogtag -d nssdb -n $(hostname -s) -p /etc/dirsrv/slapd-dogtag/pwdfile.txt -I $(hostname -s) -D $(hostname) -D $(hostname -s)}}

==Mise en place d'un proxy apache==
Afin de sécuriser un peu plus notre PKI, on va empêcher les accès directs à la machine. Pour la partie web on va donc mettre en place un proxy Apache devant.

Il devra:

*Transmettre l'authentification par certificats
*Fournir une connexion sécurisée HTTPS
*Communiquer de façon sécurisée avec la PKI
Donc pour répondre au mieux à tout ça:

*On mettra en place l'identification par certificats directement sur le proxy qui transmettra à la PKI
*On forcera la navigation HTTPS
*Pour la communication entre le proxy et la PKI on utiilisera AJP avec un shared secret.

=== Fichier de configuration du vhost SSL===
{{Collapse top|Configuration de base du vhost SSL|expand=0}}
<syntaxhighlight lang="apacheconf">
<VirtualHost *:443>
  ServerName pki.exemple.com

  SSLEngine on
  SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
  SSLCertificateFile /etc/letsencrypt/live/pki.exemple.com/cert.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/pki.exemple.com/privkey.pem
  SSLCompression Off

  ServerSignature Off

  AllowEncodedSlashes On

  <Proxy *>
    AddDefaultCharset Off
    Order deny,allow
    Allow from all
  </Proxy>
  
  CustomLog logs/pki.log combined
  ErrorLog logs/pki_error.log
</syntaxhighlight>
{{Collapse bottom}}
On va ajouter une exception pour permettre le fonctionnement de certbot:<syntaxhighlight lang="apacheconf">
  Alias     /.well-known/acme-challenge /var/www/acme/
  ProxyPass /.well-known/acme-challenge/ !
</syntaxhighlight>Ajout de l'authentification par certificats:<syntaxhighlight lang="apacheconf">
  SSLCACertificateFile cabundle.pem
  SSLVerifyClient optional
  SSLVerifyDepth 2
  SSLOptions +ExportCertData +StdEnvVars
</syntaxhighlight>Pour autoriser l'accès le certificat doit contenir un champs Organisation avec pour valeur OurOrganisation<syntaxhighlight lang="apacheconf">
  <Location />
   SSLRequire ( %{SSL_CLIENT_S_DN_O} eq "OurOrganisation" )
  </Location>
</syntaxhighlight>Le proxy AJP<syntaxhighlight lang="apacheconf">
  ProxyPass        / ajp://192.168.0.X:8009/ secret=sharedSecret
  ProxyPassReverse / ajp://192.168.0.X:8009/ secret=sharedSecret
</syntaxhighlight>Et on ferme tout !<syntaxhighlight lang="apacheconf">
</VirtualHost>
</syntaxhighlight>

===Configuration de Tomcat===
Du côté de Tomcat pour la PKI la configuration sera très rapide.

Il faut modifier le fichier {{Path|/etc/pki/dg-pki/server.xml}}

Décommenter le connecteur AJP:<syntaxhighlight lang="html">
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="pki.exemple.com" secret="sharedSecret" name="Connector1"/>
</syntaxhighlight>

Et dans le fichier {{Path|/etc/pki/dg-pki/ca/CS.cfg}}

Modifier les lignes suivantes pour ajouter le port:

<syntaxhighlight lang="ini">
proxy.securePort=8009
proxy.unsecurePort=

</syntaxhighlight>

==Profils de certificats personnalisés==
J'ai créé ou modifié quelques profils pour répondre à mes besoins, je vous mets les versions RSA pour les intéressés.

===caAgentServerCertAltName===

Ce profil permet de créer via un agent un certificat qui reprendra le champs subjectAltNames de la requête.{{Collapse top|caAgentServerCertAltName.cfg}}
<syntaxhighlight lang=ini>
desc=This certificate profile is for enrolling server certificates with agent authentication and alt names from request.
visible=true
enable=true
enableBy=admin
auth.instance_id=AgentCertAuth
name=Agent-Authenticated Server Certificate Enrollment with Alternative Names from request
input.list=i1,i2
input.i1.class_id=certReqInputImpl
input.i2.class_id=submitterInfoInputImpl
output.list=o1
output.o1.class_id=certOutputImpl
policyset.list=serverCertSet
policyset.serverCertSet.list=1,2,3,4,5,6,7,8,11,12
policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl
policyset.serverCertSet.1.constraint.name=Subject Name Constraint
policyset.serverCertSet.1.constraint.params.pattern=CN=.*
policyset.serverCertSet.1.constraint.params.accept=true
policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl
policyset.serverCertSet.1.default.name=Subject Name Default
policyset.serverCertSet.1.default.params.name=
policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl
policyset.serverCertSet.2.constraint.name=Validity Constraint
policyset.serverCertSet.2.constraint.params.range=365
policyset.serverCertSet.2.constraint.params.notBeforeCheck=false
policyset.serverCertSet.2.constraint.params.notAfterCheck=false
policyset.serverCertSet.2.default.class_id=validityDefaultImpl
policyset.serverCertSet.2.default.name=Validity Default
policyset.serverCertSet.2.default.params.range=90
policyset.serverCertSet.2.default.params.startTime=0
policyset.serverCertSet.3.constraint.class_id=keyConstraintImpl
policyset.serverCertSet.3.constraint.name=Key Constraint
policyset.serverCertSet.3.constraint.params.keyType=RSA
policyset.serverCertSet.3.constraint.params.keyParameters=1024,2048,3072,4096
policyset.serverCertSet.3.default.class_id=userKeyDefaultImpl
policyset.serverCertSet.3.default.name=Key Default
policyset.serverCertSet.4.constraint.class_id=noConstraintImpl
policyset.serverCertSet.4.constraint.name=No Constraint
policyset.serverCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.serverCertSet.4.default.name=Authority Key Identifier Default
policyset.serverCertSet.5.constraint.class_id=noConstraintImpl
policyset.serverCertSet.5.constraint.name=No Constraint
policyset.serverCertSet.5.default.class_id=authInfoAccessExtDefaultImpl
policyset.serverCertSet.5.default.name=AIA Extension Default
policyset.serverCertSet.5.default.params.authInfoAccessADEnable_0=true
policyset.serverCertSet.5.default.params.authInfoAccessADLocationType_0=URIName
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=
policyset.serverCertSet.5.default.params.authInfoAccessADMethod_0=1.3.6.1.5.5.7.48.1
policyset.serverCertSet.5.default.params.authInfoAccessCritical=false
policyset.serverCertSet.5.default.params.authInfoAccessNumADs=1
policyset.serverCertSet.6.constraint.class_id=keyUsageExtConstraintImpl
policyset.serverCertSet.6.constraint.name=Key Usage Extension Constraint
policyset.serverCertSet.6.constraint.params.keyUsageCritical=true
policyset.serverCertSet.6.constraint.params.keyUsageDigitalSignature=true
policyset.serverCertSet.6.constraint.params.keyUsageNonRepudiation=false
policyset.serverCertSet.6.constraint.params.keyUsageDataEncipherment=true
policyset.serverCertSet.6.constraint.params.keyUsageKeyEncipherment=true
policyset.serverCertSet.6.constraint.params.keyUsageKeyAgreement=false
policyset.serverCertSet.6.constraint.params.keyUsageKeyCertSign=false
policyset.serverCertSet.6.constraint.params.keyUsageCrlSign=false
policyset.serverCertSet.6.constraint.params.keyUsageEncipherOnly=false
policyset.serverCertSet.6.constraint.params.keyUsageDecipherOnly=false
policyset.serverCertSet.6.default.class_id=keyUsageExtDefaultImpl
policyset.serverCertSet.6.default.name=Key Usage Default
policyset.serverCertSet.6.default.params.keyUsageCritical=true
policyset.serverCertSet.6.default.params.keyUsageDigitalSignature=true
policyset.serverCertSet.6.default.params.keyUsageNonRepudiation=false
policyset.serverCertSet.6.default.params.keyUsageDataEncipherment=true
policyset.serverCertSet.6.default.params.keyUsageKeyEncipherment=true
policyset.serverCertSet.6.default.params.keyUsageKeyAgreement=false
policyset.serverCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.serverCertSet.6.default.params.keyUsageCrlSign=false
policyset.serverCertSet.6.default.params.keyUsageEncipherOnly=false
policyset.serverCertSet.6.default.params.keyUsageDecipherOnly=false
policyset.serverCertSet.7.constraint.class_id=noConstraintImpl
policyset.serverCertSet.7.constraint.name=No Constraint
policyset.serverCertSet.7.default.class_id=extendedKeyUsageExtDefaultImpl
policyset.serverCertSet.7.default.name=Extended Key Usage Extension Default
policyset.serverCertSet.7.default.params.exKeyUsageCritical=false
policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.1
policyset.serverCertSet.8.constraint.class_id=signingAlgConstraintImpl
policyset.serverCertSet.8.constraint.name=No Constraint
policyset.serverCertSet.8.constraint.params.signingAlgsAllowed=SHA256withRSA,SHA512withRSA,SHA256withEC,SHA384withRSA,SHA384withEC,SHA512withEC,SHA256withRSA/PSS,SHA384withRSA/PSS,SHA512withRSA/PSS
policyset.serverCertSet.8.default.class_id=signingAlgDefaultImpl
policyset.serverCertSet.8.default.name=Signing Alg
policyset.serverCertSet.8.default.params.signingAlg=-
policyset.serverCertSet.11.constraint.class_id=noConstraintImpl
policyset.serverCertSet.11.constraint.name=No Constraint
policyset.serverCertSet.11.default.class_id=userExtensionDefaultImpl
policyset.serverCertSet.11.default.name=User supplied extension in CSR
policyset.serverCertSet.11.default.params.userExtOID=2.5.29.17
policyset.serverCertSet.11.default.params.subjAltNameExtCritical=false
policyset.serverCertSet.12.constraint.class_id=noConstraintImpl
policyset.serverCertSet.12.constraint.name=No Constraint
policyset.serverCertSet.12.default.class_id=commonNameToSANDefaultImpl
policyset.serverCertSet.12.default.name=Copy Common Name to Subject Alternative Name Extension
</syntaxhighlight>
{{Collapse bottom}}

===caAgentDualCert===



Pratiquement comme le précédent à ceci près qu'il est client ET serveur.{{Collapse top|caAgentDualCert.cfg}}
<syntaxhighlight lang=ini>
desc=This certificate profile is for enrolling server certificates for dual use with agent authentication take alt names from request.
visible=true
enable=true
enableBy=admin
auth.instance_id=AgentCertAuth
name=Agent-Authenticated Dual Use (Server/Client) Certificate Enrollment with Alternative Names from request
input.list=i1,i2
input.i1.class_id=certReqInputImpl
input.i2.class_id=submitterInfoInputImpl
output.list=o1
output.o1.class_id=certOutputImpl
policyset.list=serverCertSet
policyset.serverCertSet.list=1,2,3,4,5,6,7,8,11,12
policyset.serverCertSet.1.constraint.class_id=subjectNameConstraintImpl
policyset.serverCertSet.1.constraint.name=Subject Name Constraint
policyset.serverCertSet.1.constraint.params.pattern=.*UID=.*
policyset.serverCertSet.1.constraint.params.accept=true
policyset.serverCertSet.1.default.class_id=userSubjectNameDefaultImpl
policyset.serverCertSet.1.default.name=Subject Name Default
policyset.serverCertSet.1.default.params.name=
policyset.serverCertSet.2.constraint.class_id=validityConstraintImpl
policyset.serverCertSet.2.constraint.name=Validity Constraint
policyset.serverCertSet.2.constraint.params.range=365
policyset.serverCertSet.2.constraint.params.notBeforeCheck=false
policyset.serverCertSet.2.constraint.params.notAfterCheck=false
policyset.serverCertSet.2.default.class_id=validityDefaultImpl
policyset.serverCertSet.2.default.name=Validity Default
policyset.serverCertSet.2.default.params.range=180
policyset.serverCertSet.2.default.params.startTime=0
policyset.serverCertSet.3.constraint.class_id=keyConstraintImpl
policyset.serverCertSet.3.constraint.name=Key Constraint
policyset.serverCertSet.3.constraint.params.keyType=RSA
policyset.serverCertSet.3.constraint.params.keyParameters=1024,2048,3072,4096
policyset.serverCertSet.3.default.class_id=userKeyDefaultImpl
policyset.serverCertSet.3.default.name=Key Default
policyset.serverCertSet.4.constraint.class_id=noConstraintImpl
policyset.serverCertSet.4.constraint.name=No Constraint
policyset.serverCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.serverCertSet.4.default.name=Authority Key Identifier Default
policyset.serverCertSet.5.constraint.class_id=noConstraintImpl
policyset.serverCertSet.5.constraint.name=No Constraint
policyset.serverCertSet.5.default.class_id=authInfoAccessExtDefaultImpl
policyset.serverCertSet.5.default.name=AIA Extension Default
policyset.serverCertSet.5.default.params.authInfoAccessADEnable_0=true
policyset.serverCertSet.5.default.params.authInfoAccessADLocationType_0=URIName
policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=
policyset.serverCertSet.5.default.params.authInfoAccessADMethod_0=1.3.6.1.5.5.7.48.1
policyset.serverCertSet.5.default.params.authInfoAccessCritical=false
policyset.serverCertSet.5.default.params.authInfoAccessNumADs=1
policyset.serverCertSet.6.constraint.class_id=keyUsageExtConstraintImpl
policyset.serverCertSet.6.constraint.name=Key Usage Extension Constraint
policyset.serverCertSet.6.constraint.params.keyUsageCritical=true
policyset.serverCertSet.6.constraint.params.keyUsageDigitalSignature=true
policyset.serverCertSet.6.constraint.params.keyUsageNonRepudiation=false
policyset.serverCertSet.6.constraint.params.keyUsageDataEncipherment=true
policyset.serverCertSet.6.constraint.params.keyUsageKeyEncipherment=true
policyset.serverCertSet.6.constraint.params.keyUsageKeyAgreement=false
policyset.serverCertSet.6.constraint.params.keyUsageKeyCertSign=false
policyset.serverCertSet.6.constraint.params.keyUsageCrlSign=false
policyset.serverCertSet.6.constraint.params.keyUsageEncipherOnly=false
policyset.serverCertSet.6.constraint.params.keyUsageDecipherOnly=false
policyset.serverCertSet.6.default.class_id=keyUsageExtDefaultImpl
policyset.serverCertSet.6.default.name=Key Usage Default
policyset.serverCertSet.6.default.params.keyUsageCritical=true
policyset.serverCertSet.6.default.params.keyUsageDigitalSignature=true
policyset.serverCertSet.6.default.params.keyUsageNonRepudiation=false
policyset.serverCertSet.6.default.params.keyUsageDataEncipherment=true
policyset.serverCertSet.6.default.params.keyUsageKeyEncipherment=true
policyset.serverCertSet.6.default.params.keyUsageKeyAgreement=false
policyset.serverCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.serverCertSet.6.default.params.keyUsageCrlSign=false
policyset.serverCertSet.6.default.params.keyUsageEncipherOnly=false
policyset.serverCertSet.6.default.params.keyUsageDecipherOnly=false
policyset.serverCertSet.7.constraint.class_id=noConstraintImpl
policyset.serverCertSet.7.constraint.name=No Constraint
policyset.serverCertSet.7.default.class_id=extendedKeyUsageExtDefaultImpl
policyset.serverCertSet.7.default.name=Extended Key Usage Extension Default
policyset.serverCertSet.7.default.params.exKeyUsageCritical=true
policyset.serverCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4
policyset.serverCertSet.8.constraint.class_id=signingAlgConstraintImpl
policyset.serverCertSet.8.constraint.name=No Constraint
policyset.serverCertSet.8.constraint.params.signingAlgsAllowed=SHA256withRSA,SHA512withRSA,SHA256withEC,SHA384withRSA,SHA384withEC,SHA512withEC,SHA256withRSA/PSS,SHA384withRSA/PSS,SHA512withRSA/PSS
policyset.serverCertSet.8.default.class_id=signingAlgDefaultImpl
policyset.serverCertSet.8.default.name=Signing Alg
policyset.serverCertSet.8.default.params.signingAlg=-
policyset.serverCertSet.11.constraint.class_id=noConstraintImpl
policyset.serverCertSet.11.constraint.name=No Constraint
policyset.serverCertSet.11.default.class_id=userExtensionDefaultImpl
policyset.serverCertSet.11.default.name=User supplied extension in CSR
policyset.serverCertSet.11.default.params.userExtOID=2.5.29.17
policyset.serverCertSet.11.default.params.subjAltNameExtCritical=false
policyset.serverCertSet.12.constraint.class_id=noConstraintImpl
policyset.serverCertSet.12.constraint.name=No Constraint
policyset.serverCertSet.12.default.class_id=commonNameToSANDefaultImpl
policyset.serverCertSet.12.default.name=Copy Common Name to Subject Alternative Name Extension

</syntaxhighlight>
{{Collapse bottom}}

===caUserCert===

Dans ce certificat je n'ai fais que modifier la contrainte pour le sujet, afin d'autoriser que le champs UID ne soit pas forcément le premier{{Collapse top|caUserCert.cfg}}
<syntaxhighlight lang=ini>
desc=This certificate profile is for enrolling user certificates.
visible=true
enable=true
enableBy=admin
name=Manual User Dual-Use Certificate Enrollment
auth.class_id=
input.list=i4,i3
input.i1.class_id=keyGenInputImpl
input.i2.class_id=subjectNameInputImpl
input.i3.class_id=submitterInfoInputImpl
input.i4.class_id=certReqInputImpl
output.list=o1
output.o1.class_id=certOutputImpl
policyset.list=userCertSet
policyset.userCertSet.list=1,10,2,3,4,5,6,7,8,9
policyset.userCertSet.1.constraint.class_id=subjectNameConstraintImpl
policyset.userCertSet.1.constraint.name=Subject Name Constraint
policyset.userCertSet.1.constraint.params.pattern=.*UID=.*
policyset.userCertSet.1.constraint.params.accept=true
policyset.userCertSet.1.default.class_id=userSubjectNameDefaultImpl
policyset.userCertSet.1.default.name=Subject Name Default
policyset.userCertSet.1.default.params.name=$request.req_subject_name$
policyset.userCertSet.10.constraint.class_id=renewGracePeriodConstraintImpl
policyset.userCertSet.10.constraint.name=Renewal Grace Period Constraint
policyset.userCertSet.10.constraint.params.renewal.graceBefore=30
policyset.userCertSet.10.constraint.params.renewal.graceAfter=30
policyset.userCertSet.10.default.class_id=noDefaultImpl
policyset.userCertSet.10.default.name=No Default
policyset.userCertSet.2.constraint.class_id=validityConstraintImpl
policyset.userCertSet.2.constraint.name=Validity Constraint
policyset.userCertSet.2.constraint.params.range=90
policyset.userCertSet.2.constraint.params.notBeforeCheck=false
policyset.userCertSet.2.constraint.params.notAfterCheck=false
policyset.userCertSet.2.default.class_id=validityDefaultImpl
policyset.userCertSet.2.default.name=Validity Default
policyset.userCertSet.2.default.params.range=180
policyset.userCertSet.2.default.params.startTime=0
policyset.userCertSet.3.constraint.class_id=keyConstraintImpl
policyset.userCertSet.3.constraint.name=Key Constraint
policyset.userCertSet.3.constraint.params.keyType=RSA
policyset.userCertSet.3.constraint.params.keyParameters=1024,2048,3072,4096
policyset.userCertSet.3.default.class_id=userKeyDefaultImpl
policyset.userCertSet.3.default.name=Key Default
policyset.userCertSet.4.constraint.class_id=noConstraintImpl
policyset.userCertSet.4.constraint.name=No Constraint
policyset.userCertSet.4.default.class_id=authorityKeyIdentifierExtDefaultImpl
policyset.userCertSet.4.default.name=Authority Key Identifier Default
policyset.userCertSet.5.constraint.class_id=noConstraintImpl
policyset.userCertSet.5.constraint.name=No Constraint
policyset.userCertSet.5.default.class_id=authInfoAccessExtDefaultImpl
policyset.userCertSet.5.default.name=AIA Extension Default
policyset.userCertSet.5.default.params.authInfoAccessADEnable_0=true
policyset.userCertSet.5.default.params.authInfoAccessADLocationType_0=URIName
policyset.userCertSet.5.default.params.authInfoAccessADLocation_0=
policyset.userCertSet.5.default.params.authInfoAccessADMethod_0=1.3.6.1.5.5.7.48.1
policyset.userCertSet.5.default.params.authInfoAccessCritical=false
policyset.userCertSet.5.default.params.authInfoAccessNumADs=1
policyset.userCertSet.6.constraint.class_id=keyUsageExtConstraintImpl
policyset.userCertSet.6.constraint.name=Key Usage Extension Constraint
policyset.userCertSet.6.constraint.params.keyUsageCritical=true
policyset.userCertSet.6.constraint.params.keyUsageDigitalSignature=true
policyset.userCertSet.6.constraint.params.keyUsageNonRepudiation=true
policyset.userCertSet.6.constraint.params.keyUsageDataEncipherment=false
policyset.userCertSet.6.constraint.params.keyUsageKeyEncipherment=true
policyset.userCertSet.6.constraint.params.keyUsageKeyAgreement=false
policyset.userCertSet.6.constraint.params.keyUsageKeyCertSign=false
policyset.userCertSet.6.constraint.params.keyUsageCrlSign=false
policyset.userCertSet.6.constraint.params.keyUsageEncipherOnly=false
policyset.userCertSet.6.constraint.params.keyUsageDecipherOnly=false
policyset.userCertSet.6.default.class_id=keyUsageExtDefaultImpl
policyset.userCertSet.6.default.name=Key Usage Default
policyset.userCertSet.6.default.params.keyUsageCritical=true
policyset.userCertSet.6.default.params.keyUsageDigitalSignature=true
policyset.userCertSet.6.default.params.keyUsageNonRepudiation=true
policyset.userCertSet.6.default.params.keyUsageDataEncipherment=false
policyset.userCertSet.6.default.params.keyUsageKeyEncipherment=true
policyset.userCertSet.6.default.params.keyUsageKeyAgreement=false
policyset.userCertSet.6.default.params.keyUsageKeyCertSign=false
policyset.userCertSet.6.default.params.keyUsageCrlSign=false
policyset.userCertSet.6.default.params.keyUsageEncipherOnly=false
policyset.userCertSet.6.default.params.keyUsageDecipherOnly=false
policyset.userCertSet.7.constraint.class_id=noConstraintImpl
policyset.userCertSet.7.constraint.name=No Constraint
policyset.userCertSet.7.default.class_id=extendedKeyUsageExtDefaultImpl
policyset.userCertSet.7.default.name=Extended Key Usage Extension Default
policyset.userCertSet.7.default.params.exKeyUsageCritical=false
policyset.userCertSet.7.default.params.exKeyUsageOIDs=1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.4
policyset.userCertSet.8.constraint.class_id=noConstraintImpl
policyset.userCertSet.8.constraint.name=No Constraint
policyset.userCertSet.8.default.class_id=subjectAltNameExtDefaultImpl
policyset.userCertSet.8.default.name=Subject Alt Name Constraint
policyset.userCertSet.8.default.params.subjAltNameExtCritical=false
policyset.userCertSet.8.default.params.subjAltExtType_0=RFC822Name
policyset.userCertSet.8.default.params.subjAltExtPattern_0=$request.requestor_email$
policyset.userCertSet.8.default.params.subjAltExtGNEnable_0=true
policyset.userCertSet.8.default.params.subjAltNameNumGNs=1
policyset.userCertSet.9.constraint.class_id=signingAlgConstraintImpl
policyset.userCertSet.9.constraint.name=No Constraint
policyset.userCertSet.9.constraint.params.signingAlgsAllowed=SHA256withRSA,SHA512withRSA,SHA256withEC,SHA384withRSA,SHA384withEC,SHA512withEC,SHA256withRSA/PSS,SHA384withRSA/PSS,SHA512withRSA/PSS
policyset.userCertSet.9.default.class_id=signingAlgDefaultImpl
policyset.userCertSet.9.default.name=Signing Alg
policyset.userCertSet.9.default.params.signingAlg=-

</syntaxhighlight>
{{Collapse bottom}}
==Bugs rencontrés==

===Useless login pour ACME ===
Vous aurez peut être constaté sur certaines versions que rien ne se passe quand on se connecte sur ACME ...

Non ce  n'est pas juste une fonction inutile (mais presque quand même ...) c'est dû a une erreur dans le code source ...

Pour la corriger il suffit de lancer le sed ci-dessous et vous aurez enfin accès au menu "Configuration"
{{LxTerm|text=sed -i 's/data.Roles.Role/data.Roles/' /usr/share/pki/acme/webapps/acme/js/pki-acme.js}}

===KRA et le certificat perdu ...===
Lors de l'installation de KRA, j'ai pu constater que le générateur server side ne fonctionnait pas ... En effet il nous dit que son certificat doit être importé dans la NSS DB de la CA .... Et pourtant, il y est ...

Après avoir cherché près de 2 jours et tout retourné, j'ai fini par trouver ...

Le nickname n'est pas mis dans la configuration de la CA ...
{{LxTerm|text=echo "ca.connector.KRA.transportCertNickname=kra_transport" >> /var/lib/pki/pki-dogtag/ca/conf/CS.cfg}}

=== SCEP: le listener qui ne fonctionne pas ...===
Alors il m'a fallu des heures pour trouver comment le fixer, mais le fixer est au final très simple ...

C'est tout simplement une mauvaise entrée dans le fichier de configuration qui pose problème, ils ont laissé le nom d'une classe disparue ...

Il faut donc tout simplement modifier le fichier CS.cfg ... Enfin j'ai modifié tous les fichiers du serveurs afin de m'assurer qu'aucun ne garde l'ancienne info non fonctionnelle ...
{{LxTerm|text=sed -i .fixScep 's/com.netscape.cms.servlet.cert.scep.ChallengePassword/org.mozilla.jss.netscape.security.x509.ChallengePassword/' $(find / -name CS.cfg)}}{{DovConnect}}
[[Catégorie:Security]]
[[Catégorie:Authentication]]