Utilisation du script Mini-Pki
Utilisation de mini-pki
Prérequis
Pour utiliser ce script des prérequis sont nécessaires.
Il faut avoir installé openssl.
Et aussi avoir un utilisateur remplissant toutes les conditions.
Le script est disponible ici.
Nous allons maintenant voir les différentes commandes du script mini-pki.
Génération de l’architecture et du CA
.\mini-pki.ps1 -create-ca
Cette commande créée l’architecture pour stocker tous les fichiers nécessaires à la certification.
Ainsi que les clés, csr, certificat de la root et fichier de configuration.
Génération clés et csr utilisateur AD
.\mini-pki.ps1 -user-req name.key name.csr
Cette commande permet de créer la clé privée et publique d’un utilisateur de l’AD ainsi que son csr.
Génération certificat utilisateur AD
.\mini-pki.ps1 -user-sign name.csr name.crt
Cette commande permet en fonction du csr indiqué de générer le certificat correspondant si tous les critères sont respectés.
Révocation d’un certificat
.\mini-pki.ps1 -revoke .\miniCA\cert\name.crt [number]
Cette commande révoque un certificat spécifique.
Génération de la CRL
.\mini-pki.ps1 -gencrl
Cette commande permet de générer la CRL.
Mise en place du serveur ocsp
.\mini-pki.ps1 -genocsp
Cette commande génère les clés, csr et certificat nécéssaires pour faire tourner un serveur ocsp.
Et lance le seveur ocsp.
Déploiement de sécurisé
Pour deployer de manière massive et sécurisée le certificat de la root CA, voici les infos ici.
Les CRL et le serveur ocsp sont accessibles de partout car ils tournent sur un serveur disponible en http. Pour que cela soit fait de manière sécurisée il faudrait rendre les liens en https, ou les rendre accessibles uniquement aux certificats des utilisateurs du domaine.