Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Document justificatif de l'authentification X509

Introduction

Vous pouvez utiliser l'authentification X.509 avec toutes les méthodes d'envoi de mises à jour au Whois Base de données. Quelle que soit la méthode que vous utilisez, vous aurez besoin d'un certificat et d'une clé privée. Si vous disposez déjà d'un certificat émis par une autre autorité de certification, vous pouvez l'utiliser. Sinon et que vous êtes un LIR, vous pouvez en créer un avec RIPE NCC car AfriNIC ne lance pas encore CA. Sinon, vous devrez générer un certificat auto-signé pour vous-même. Implémentation AfriNIC de X.509 pour la signature des mises à jour du Whois La base de données n'est pas concernée par le chemin de confiance d'un certificat. Le certificat est uniquement utilisé pour stocker la clé publique dans un objet de certificat de clé correspondant à votre clé privée. Aucun compte n'est tenu des listes de révocation de certificats. C'est pourquoi un certificat auto-signé fonctionnera bien pour la signature des mises à jour de la base de données.

Si vous souhaitez envoyer vos mises à jour à partir d'un client de messagerie prenant en charge S/MIME, vous pouvez importer votre certificat dans le client de messagerie et l'utiliser pour signer les messages de mise à jour. Si votre client de messagerie préféré ne prend pas en charge S/MIME, vous pouvez signer des messages à partir de la ligne de commande à l'aide d'OpenSSL et couper et coller le message signé dans la fenêtre de rédaction du client de messagerie.

Configurer votre client de messagerie

Vous devez d'abord générer un certificat.

Une fois le certificat généré, sélectionnez une option pour exporter ou sauvegarder le certificat et la clé privée à partir de votre navigateur. Certaines lignes directrices à ce sujet sont données dans RIPE NCC Documentation Annexe A1.2.

Importez le certificat et la clé privée sauvegardés dans votre client de messagerie.

Configurer la base de données

Vous êtes maintenant prêt à signer les messages de votre client de messagerie. L'étape suivante consiste à configurer la fin de la base de données AfriNIC. Pour cela, vous devez créer un nouveau X509 objet key-cert et définissez l'autorisation dans l'objet mntner pour utiliser X509.

Création de l'objet key-cert

Vous devez créer un objet key-cert selon le modèle suivant:

key-cert: [obligatoire] [unique] [clé primaire / de recherche]
méthode: [généré] [unique] []
propriétaire: [généré] [multiple] []
fingerpr: [généré] [unique] [touche inverse]
certif: [obligatoire] [multiple] []
remarques: [facultatif] [multiple] []
notifier: [facultatif] [multiple] [touche inverse]
admin-c: [facultatif] [multiple] [touche inverse]
tech-c: [facultatif] [multiple] [touche inverse]
mnt-by: [obligatoire] [multiple] [touche inverse]
modifié: [obligatoire] [multiple] []
source: [obligatoire] [unique] []

Vous devrez utiliser OpenSSL pour convertir le certificat au format texte ASCII. Le fichier de sauvegarde exporté depuis votre navigateur contenant votre certificat et votre clé privée est au format binaire et l'extension de fichier doit être .p12. Utilisez OpenSSL pour convertir ce fichier binaire en un fichier ascii qui aura l'extension de fichier .pem.

La commande pour ce faire est:

openssl pkcs12 -clcerts ascii.pem

Ouvrez maintenant le fichier ascii.pem dans un éditeur de texte. Supprimez tout du fichier à l'exception du certificat. Ceci est contenu dans les lignes:

----- COMMENCER LE CERTIFICAT ----- 
...... 
----- CERTIFICAT FINAL -----

Vous devez également conserver ces lignes BEGIN et END. Cela formera désormais les données de certificat pour votre objet de certificat de clé. Ajoutez au début de chacune de ces lignes le nom d'attribut "certif:"

Par exemple :

certif: ----- COMMENCER LE CERTIFICAT -----
certificat : MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificat : EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificat : bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificat: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificat : kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- FIN CERTIFICAT -----

Les attributs "method:", "owner:" et "fingerpr:" seront automatiquement générés par le programme de mise à jour de la base de données afin qu'ils puissent être ignorés à ce stade. Le seul attribut requis avant les données "certif:" est le "key-cert:". La valeur du nom de cet attribut est générée automatiquement, alors ajoutez cette ligne au début du fichier:

clé-cert: AUTO-1

Ce nom n'est utilisé que comme balise dans les attributs "auth:" du mainteneur, il a donc été décidé de ne permettre aucun choix dans le nom. Le nom généré sera du type X509-nnn où nnn est le prochain nombre entier disponible. Ces numéros ne seront pas réutilisés. Une fois qu'un objet clé-cert est supprimé, il n'est pas possible d'en recréer un avec le même nom.

Le reste de l'objet key-cert après les attributs "certif:" ressemble à ceci:

remarques: Exemple de certificat de clé
notifier: vous@votre_domaine.net
mnt-by: VOTRE-MNT
modifié: vous@votre_domaine.net 20040101
source : AFRINIC

Cela donne un objet clé-cert final ressemblant à ceci:

clé-cert: AUTO-1
certif: ----- COMMENCER LE CERTIFICAT -----
certificat : MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificat : EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificat : bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificat: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificat : kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- FIN CERTIFICAT -----
remarques: Exemple de certificat de clé
notifier: vous@votre_domaine.net
mnt-by: VOTRE-MNT
modifié: vous@votre_domaine.net 20050101
source : AFRINIC

Cela peut maintenant être soumis au programme de mise à jour de la base de données en l'envoyant par e-mail à auto-dbm@afrinic.netou en utilisant des méthodes de synchronisation ou de mise à jour Web.

L'objet final créé dans la base de données ressemblera à ceci:

clé-cert: X509-23
méthode: X509
propriétaire: /C=NL/O=AFRINIC/OU=Members/CN=tg.dodo.administrator
\ /Email=vous@votre_domaine.net
fingerpr: AC:B5:B1:36:95:F3:46:93:B1:2D:58:EB:E1:46:DA:3F
certif: ----- COMMENCER LE CERTIFICAT -----
certificat : MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx
certificat : EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv
certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu
certificat : bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC
certificat: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD
certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51
certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0
certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9
certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac
certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4
certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y
certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBgl
certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG + EIBDQQNFgtSSVBF
certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB
certificat : kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw
certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0
certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l
certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn
certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI
certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww
certif: PeUqjPPTZg ==
certif: ----- FIN CERTIFICAT -----
remarques: Exemple de certificat de clé
notifier: vous@votre_domaine.net
mnt-by: VOTRE-MNT
modifié: vous@votre_domaine.net 20040101
source : AFRINIC

Mise à jour du responsable

La dernière étape pour utiliser X.509 est de définir l'autorisation de votre objet mntner pour accepter X.509. Il est conseillé dans un premier temps de conserver la méthode d'autorisation existante de votre responsable et d'ajouter le X.509 comme méthode supplémentaire. Après avoir testé son utilisation avec succès, vous pouvez supprimer tout
méthodes d'autorisation moins sécurisées telles que les mots de passe.

Si votre objet mntner existant ressemble à ceci:

mntner: VOTRE-MNT
descr: objet mainteneur de société
admin-c : TP1-AFRINIC
mise à jour: vous@votre_domaine.net
saisine: RIPE-DBM-MNT
mnt-by: VOTRE-MNT
authentification : CRYPT-PW dbOnSHFpKZTBU
modifié: vous@votre_domaine.net 20050101
source : AFRINIC

Ajoutez une ligne d'autorisation supplémentaire pour X509-23 et soumettez l'objet au programme de mise à jour de la base de données de la manière habituelle, en fournissant l'autorisation existante requise. Dans cet exemple, ce sera le mot de passe crypt-pw:

mntner: VOTRE-MNT
descr: objet mainteneur de société
admin-c : TP1-AFRINIC
mise à jour: vous@votre_domaine.net
saisine: RIPE-DBM-MNT
mnt-by: VOTRE-MNT
authentification : CRYPT-PW dbOnSHFpKZTBU
authentification : X509-23
modifié: vous@votre_domaine.net 20050101
source : AFRINIC

Utilisation de l'autorisation X.509

Tout est maintenant en place pour utiliser l'autorisation X.509. Vous pouvez composer un message dans votre client de messagerie contenant la mise à jour. Signez le message avec votre certificat et votre clé privée. Vous devrez peut-être consulter la documentation de votre client de messagerie spécifique pour voir comment procéder. Envoyez ensuite l'e-mail à auto-dbm@afrinic.net. Une fois que vous avez soumis une mise à jour réussie, vous pouvez, si vous le souhaitez, supprimer la méthode d'authentification la plus faible en supprimant la ligne dans cet exemple:

authentification : CRYPT-PW dbOnSHFpKZTBU

de votre objet mntner. Les mises à jour ne peuvent désormais être autorisées que par la méthode d'authentification renforcée de X.509.