2

TD/TP

CRYPTOGRAPHIE
Travaux pratiques PKI
 [Link]
Les objectifs de ces travaux pratiques sont :

1. de manipuler une PKI pour la gnration de certificats de diffrente

nature

2. de scuriser un serveur IIS en mettant en uvre le protocole SSL

3. de scuriser la messagerie par une signature lectronique

[Link] du TP
Dans ce TP, vous allez jouer alternativement le rle dun tiers de confiance et le
rle du client.

Dans la premire partie Mise en place du PKI , chaque groupe jouera le rle
du tiers de confiance pour crer son autorit de certification.

Dans la partie scurisation du serveur IIS , chaque groupe va jouer le rle du

client et gnrer une demande de certificat SSL quelle enverra au autre groupe
voisin qui deviendra alors Tiers de confiance .. Ce dernier gnrera le
certificat racine, le transmettra au groupe demandeur qui limplmentera dans
son logiciel SSL.

Enfin, dans la dernire partie, un membre de chaque groupe fera une demande
un second dun certificat personnel. Il sera ensuite intgr dans le systme et
la messagerie sera configure pour envoyer des mails signs.

[Link] en place du PKI

1. Prsentation

Nous allons utiliser le logiciel Crypto4.

Dans cette premire partie, nous allons apprendre manipuler ce logiciel, puis
gnrer le certificat racine qui permettra de signer ensuite tous les certificats
qui seront demands.

Imaginez que vous tes ladministrateur dune socit de PKI. Commencez par
dcrire votre socit en renseignant les informations qui safficheront dans votre
certificat racine :

Country = France

Common name =.............................. (Nom et catgorie de votre certificat)

Organization =.........................................................(Nom de votre socit)

Organization unit = ..........................Nom du service dlivrant le certificat)

ii
 2. Gnration du certificat racine

Lancer le logiciel [Link] :

Affichage Action / Question

1. Que voulez-vous gnrer ?

2. Certif root

3. Expliquez la diffrence entre

ces 2 options ? Laquelle
retenez-vous ?

4. Autosign non reconu par

navigateur

iii
 Prendre la premire option

Renseignez les informations en

fonction de celles donnes au dbut
de ce TP

Parcourez les diffrents choix avec

la souris des options sur les 2
onglets.

5. Quel type de certificat allez-

vous gnrer ?

6. Issues certificate

7. Faut-il une priode de validit

courte ??

Non longue car il va permettre de

generer les certifs clients

iv
 Vrifiez les informations

Cliquez sur Advanced

Regardez et commentez les

diffrents onglets

Ouvrez longlet Public Key Size .

8. Une clef de 512 bits est-elle

suffisante ?

9. Non 2048

10. Proposez une bonne

valeur. Pourquoi ne pas
utiliser une clef de 4096 bits ?

Trop lourd

Cochez les 2 premires options.

11. Quel sera le certificat

que vous publierez ?

12. .cer

13. A quoi sert le mot de

passe ?

14. Proteger lacces

15. O devez-vous stocker

la clef prive ? Pourquoi ?

16. Bunker car a proteger

v
 [Link] dun serveur WEB (1re mthode)
1) Prparation

Il faut au pralable dclarer le nom de domaine du site WEB scuriser. Pour

cela, nous le dclarerons dans le fichier HOST de Windows.

Ouvrez le fichier HOST C:\WINDOWS\system32\drivers\etc\hosts et ajouter

la ligne suivante :

[Link] [Link] o N est le numro de votre groupe.

Ce nom correspond au nom du common name

Le but est de generer une demande de certificat CSR ( certificate self request)

2) Demande de certificat

Ouvrez loutil dadministration IIS :

Slectionnez le Site WEB par dfaut,

faites un clic droit et choisissez
Proprits :

Donnez le nom de votre de votre site

dans la zone Description

Allez dans longlet Scurit de

rpertoire

vi
 Cliquez sur Certificat de serveur

Demander la cration dun certificat,

puis renseignez les diffrents
champs chaque tape de
lassistant.

Pourquoi demander une longueur de

clef ?

Renseignez les informations de votre

entreprise

Bien mettre ici le nom du site

WEB authentifier

vii
 Stockez la demande de certificat sur
une clef USB, faites Suivant, vrifiez
les informations et terminez.

3) Gnration du certificat serveur

Donnez votre clef USB au groupe situ votre droite : il jouera le rle du tiers
de confiance.

Vous-mmes en recevant la clef du groupe de votre gauche jouerez le rle de

son tiers de confiance.

Ouvre PKI Generator et faites la gnration du certificat SSL que vous stockerez
sur la clef USB pour le donner au groupe situ votre gauche.

4) Importation du certificat SSL

Importer le certificat reu par le

groupe de votre droite dans votre
serveur IIS

Affichez le certificat serveur import. 17. Que constatez-vous ?

Pourquoi ?

18. Quelle dmarche devait

vous faire ? Auprs de qui ?

19. Que devez-vous faire

ensuite ?

viii
5) Installation du certificat racine

Double cliquez sur le

certificat racine, puis
cliquez sur Installer le
certificat

Choisissez le magasin
Autorit de certification
racines de confiance

Vous devez arriver cet

affichage.

20. Laccepter
signifie quoi ?

ix
 E. Scurisation dun serveur WEB (2me mthode)
1. Supprimer le certificat sur le serveur IIS

2. Demandez votre tiers de confiance une cration de certificat SSL sans avoir
recours la CSR.

3. Importation du certificat
Ouvrez la console MMC

Ajoutez le composant enfichable

certificats sur le compte de
lordinateur.

Faites clic droit toutes les tches /

importer un certificat dans le
magasin certificats personnels

Sous IIS, dans longlet scurit /

certificat serveur , choisissez
Attribuez un certificat existant et
choisissez le certificat.

Le certificat est import

x
 F. Signature lectronique de mails
Si vous tes le demandeur Si vous tes le tiers de confiance

Faite une demande au groupe de Le groupe de gauche vous fait une

droite dun certificat lectronique pour demande de mails signs avec une
signer des mails. Vous leur indiquerez adresse mail.
une adresse mail.
21. A laide de Crypto PKI,
Le groupe de droite vous remettra un gnrer un certificat
certificat PFX et le mot de passe de la lectronique correspondant et
clef prive. transmettez au demander le
certificat PFX ainsi que le mot de
Intgrer le dans votre magasin de passe de la clef prive.
certificat sur votre poste de travail.

Ouvrez Outlook, crer un mail, allez

dans fichier/Proprits et choisissez
votre nouveau certificat :

Envoyer le mail et attendez le retour.

Le mail est-il bien sign ?

xi
 REPONSES REPORTER

1...........................................................................................................

2...........................................................................................................

.............................................................................................................

3...........................................................................................................

.............................................................................................................

4...........................................................................................................

.............................................................................................................

5...........................................................................................................

.............................................................................................................

6...........................................................................................................

.............................................................................................................

7...........................................................................................................

.............................................................................................................

8...........................................................................................................

.............................................................................................................

9...........................................................................................................

.............................................................................................................

10.........................................................................................................

.............................................................................................................

11.........................................................................................................

.............................................................................................................

12.........................................................................................................

.............................................................................................................

13.........................................................................................................

.............................................................................................................

14.........................................................................................................

.............................................................................................................
xii