TP sysres IMA2a5 2019/2020 G3 : Différence entre versions
De Wiki d'activités IMA
(→Génération et affectation du certificat) |
(→Génération et affectation du certificat) |
||
| Ligne 49 : | Ligne 49 : | ||
Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. | Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web. | ||
| − | ==== Génération | + | ==== Génération du certificat ==== |
La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un '''.key''' et un '''.csr''' | La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un '''.key''' et un '''.csr''' | ||
| Ligne 58 : | Ligne 58 : | ||
Après avoir lu le descriptif que l'on peut obtenir via [http://www.delafond.org/traducmanfr/man/man1/openssl.1.html man openssl], il en ressort que les arguments sont : | Après avoir lu le descriptif que l'on peut obtenir via [http://www.delafond.org/traducmanfr/man/man1/openssl.1.html man openssl], il en ressort que les arguments sont : | ||
| − | {| class="wikitable" style="text-align: center;width: | + | {| class="wikitable" style="text-align: center;width: 85%;margin: auto;" |
! Argument !! explication | ! Argument !! explication | ||
|- | |- | ||
! scope="row" style="width: 40%"|req | ! scope="row" style="width: 40%"|req | ||
| − | |style="width: 60%"| | + | |style="width: 60%"| Gestion X.509 Certificate Signing Request (CSR). |
|- | |- | ||
! scope="row" style="width: 40%"|-nodes | ! scope="row" style="width: 40%"|-nodes | ||
| − | |style="width: 60%"| | + | |style="width: 60%"| Pas de chiffrage sur la clef privée (option arbitraire no des) |
|- | |- | ||
| − | ! scope="row" style="width: 40%"|-newkey | + | ! scope="row" style="width: 40%"|-newkey rsa:2048 |
| − | + | |style="width: 60%"|demande de Génération d'une paire de clef RSA de 2048 bits et d'une demande de certificat. | |
| − | |||
| − | |||
| − | |style="width: 60%"| | ||
|- | |- | ||
! scope="row" style="width: 40%"|-keyout ima2a5-rex4ever.key | ! scope="row" style="width: 40%"|-keyout ima2a5-rex4ever.key | ||
| − | |style="width: 60%"| | + | |style="width: 60%"|spécification du nom de notre .key |
|- | |- | ||
! scope="row" style="width: 40%"|-out ima2a5-rex4ever.csr | ! scope="row" style="width: 40%"|-out ima2a5-rex4ever.csr | ||
| − | |style="width: 60%"| | + | |style="width: 60%"|spécification du nom de notre demande de certificat .csr |
|- | |- | ||
|} | |} | ||
| + | Pour générer en bon éduforme notre demande,l'utilitaire a besoin des informations, voici ce que nous avons répondu: | ||
| − | |||
| − | |||
Country Name (2 letter code) [AU]:'''FR''' | Country Name (2 letter code) [AU]:'''FR''' | ||
State or Province Name (full name) [Some-State]:'''Nord''' | State or Province Name (full name) [Some-State]:'''Nord''' | ||
Locality Name (eg, city) []:'''Lille''' | Locality Name (eg, city) []:'''Lille''' | ||
Organization Name (eg, company) [Internet Widgits Pty Ltd]:'''Polytech Lille''' | Organization Name (eg, company) [Internet Widgits Pty Ltd]:'''Polytech Lille''' | ||
| − | Organizational Unit Name (eg, section) []:''' | + | Organizational Unit Name (eg, section) []:'''IMA2A5''' |
| − | Common Name (e.g. server FQDN or YOUR name) []:''' | + | Common Name (e.g. server FQDN or YOUR name) []:'''ima2a5-rex4ever.site''' |
| − | Email Address []:''' | + | Email Address []:'''pascal.coint@polytech-lille.net''' |
Please enter the following 'extra' attributes | Please enter the following 'extra' attributes | ||
to be sent with your certificate request | to be sent with your certificate request | ||
A challenge password []:'''glopglop!''' | A challenge password []:'''glopglop!''' | ||
| + | Optionnal informations : | ||
| − | + | ==== Affectation du certificat sur Gandi.net ==== | |
| − | + | Après avoir répondu , il génère alors 2 fichiers. Le '''.key''' est notre clef privée elle restera donc en notre unique possession. On partage avec gandhi (qui est également un générateur de certificat) notre '''.csr'''. Il va donc étudier la validité de notre domaine et le certifier ou non. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | -----BEGIN CERTIFICATE REQUEST----- | + | ''' Contenu de notre CSR''' |
| − | MIIDBTCCAe0CAQAwgaUxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD | + | -----BEGIN CERTIFICATE REQUEST----- |
| − | VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDzANBgNVBAsMBklN | + | MIIDBTCCAe0CAQAwgaUxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD |
| − | QTJBNTEdMBsGA1UEAwwUaW1hMmE1LXJleDRldmVyLnNpdGUxLjAsBgkqhkiG9w0B | + | VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDzANBgNVBAsMBklN |
| − | CQEWH3Bhc2NhbC5jb2ludEBwb2x5dGVjaC1saWxsZS5uZXQwggEiMA0GCSqGSIb3 | + | QTJBNTEdMBsGA1UEAwwUaW1hMmE1LXJleDRldmVyLnNpdGUxLjAsBgkqhkiG9w0B |
| − | DQEBAQUAA4IBDwAwggEKAoIBAQDBKS9p8572UiXo2W1dAiKEKLq+B6ge/si0AhMH | + | CQEWH3Bhc2NhbC5jb2ludEBwb2x5dGVjaC1saWxsZS5uZXQwggEiMA0GCSqGSIb3 |
| − | fLtovMz7Xvy/9oQnq25SvkWaNRuAJrvzROGS2mzkG9IEhnEpWSTNvspTO60PgNPo | + | DQEBAQUAA4IBDwAwggEKAoIBAQDBKS9p8572UiXo2W1dAiKEKLq+B6ge/si0AhMH |
| − | EUYcgKAeEuVVJyom3K3ioBOvllucQfiOIB/ykvP80s+9Wjo2vf2PkESPTjfM0zKP | + | fLtovMz7Xvy/9oQnq25SvkWaNRuAJrvzROGS2mzkG9IEhnEpWSTNvspTO60PgNPo |
| − | 2JMT9cGQV6auD7NU+Ygz7w5dW/NKkU2KZA9HQ7i95+/ST3r2T0D8xP/ltEBC0Q7i | + | EUYcgKAeEuVVJyom3K3ioBOvllucQfiOIB/ykvP80s+9Wjo2vf2PkESPTjfM0zKP |
| − | U/OVkAKn6CPJ6KtkbQYvgKVG95IM5SQb/WxRVNnHKS4f+erNFYpx5iNiHhv6larV | + | 2JMT9cGQV6auD7NU+Ygz7w5dW/NKkU2KZA9HQ7i95+/ST3r2T0D8xP/ltEBC0Q7i |
| − | G0oR9uNsg7tOhdhcVVnooGSAsoxtgmDLwzuuho+3fS4t1K83AgMBAAGgGjAYBgkq | + | U/OVkAKn6CPJ6KtkbQYvgKVG95IM5SQb/WxRVNnHKS4f+erNFYpx5iNiHhv6larV |
| − | hkiG9w0BCQcxCwwJZ2xvcGdsb3AhMA0GCSqGSIb3DQEBCwUAA4IBAQB7jtWizvBQ | + | G0oR9uNsg7tOhdhcVVnooGSAsoxtgmDLwzuuho+3fS4t1K83AgMBAAGgGjAYBgkq |
| − | dNEyyVRhS563mKFo34RWW4g5tpnPC6wepQ7tvHo6gZZtzljobsWF55lRK7/Pi8eh | + | hkiG9w0BCQcxCwwJZ2xvcGdsb3AhMA0GCSqGSIb3DQEBCwUAA4IBAQB7jtWizvBQ |
| − | ANyQxb1Lo9FcHJcUOEMc8heeutSZQoCslTdRNMe+uBhQ/qCLXjy+fgdptqPi9cXP | + | dNEyyVRhS563mKFo34RWW4g5tpnPC6wepQ7tvHo6gZZtzljobsWF55lRK7/Pi8eh |
| − | zi8gBbrAQ9sHqJPK/RwhzuhCkBSzYgoNbYLjrHf8lCe60+7+0HBKM3jpTUDmzrzg | + | ANyQxb1Lo9FcHJcUOEMc8heeutSZQoCslTdRNMe+uBhQ/qCLXjy+fgdptqPi9cXP |
| − | Kmb8GmkgcrzKSNhlOFZpiQqBJUfK5zJEucdhJ0j7Tupwf+J2oO+TccnCNH7o1Ykc | + | zi8gBbrAQ9sHqJPK/RwhzuhCkBSzYgoNbYLjrHf8lCe60+7+0HBKM3jpTUDmzrzg |
| − | 7ANKYKpf8AoCcZenLutCXt3YGjT8INuh5SnpsyR3BZUK9hNzZGK9Ilv9hwiEnmaS | + | Kmb8GmkgcrzKSNhlOFZpiQqBJUfK5zJEucdhJ0j7Tupwf+J2oO+TccnCNH7o1Ykc |
| − | PQWRkLUGQdh+ | + | 7ANKYKpf8AoCcZenLutCXt3YGjT8INuh5SnpsyR3BZUK9hNzZGK9Ilv9hwiEnmaS |
| − | -----END CERTIFICATE REQUEST----- | + | PQWRkLUGQdh+ |
| + | -----END CERTIFICATE REQUEST----- | ||
=== Paramétrage du certificat === | === Paramétrage du certificat === | ||
Version du 7 novembre 2019 à 10:33
Sommaire
Accueil/Descriptif du groupe
Bienvenue sur la page du groupe 3. Le découpage en groupe par numéro permet de se repérer plus facielemnt dans l'adressage des différents réseaux nécessaire.Ce groupe est constitué de :
- Pascal Coint
- Quentin Weisbecker
Ce TP consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous avons à installer une machine virtuelle Xen avec l'OS Devian ainsi qu'implanter un auto-commutateur et un point d'accès. Nous effectuerons pas la suite des tests d'intrusion sur ces points d'accès afin de voir la vulnérabilité des différents protocoles de clé. Pour notre cas, nous nous étendrons sur les protocoles WEP et WPA-PSK.
Informations importantes
| Description | Détails |
|---|---|
| ID VLAN | 4 |
| Réseau IP V4 | 10.60.3.0/24 |
| Réseau IP V6 | 2001.660.4401.60B3::/64 |
| Nom de l'ordinateur portable | Requin |
| Repérage à l'étiqueteuse | IMA2A5 CW |
| Numéro de poste | Zabeth03 |
Le Site Web
Achat d'un nom de domaine et association d'IP
Pour la réalisation de ce TP, nous avons dû acheter un nom de domaine via le site Gandi.net . On retiendra que notre nom de domaine est : rex4ever.site.
Paramétrage de notre provider
Glue Records
Puis, une fois ce nom de domaine acquis, il faudra le lier à notre machine virtuelle. Pour cela, il faut se servir de ce qu'on appelle un enregistrement GLUE ce qui permettra de lier directement l'IP de la machine virtuelle avec le domaine de chez Gandi.
DNS
Configuration du Certificat/Securisation du site internet sous HTTPS
Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.
Génération du certificat
La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un .key et un .csr Pour obtenir ces deux fichiers, nous utilisons l'utilitaire OpenSSL.
openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-rex4ever.key -out ima2a5-rex4ever.csr
Mais alors comment marche cette commande? Après avoir lu le descriptif que l'on peut obtenir via man openssl, il en ressort que les arguments sont :
| Argument | explication |
|---|---|
| req | Gestion X.509 Certificate Signing Request (CSR). |
| -nodes | Pas de chiffrage sur la clef privée (option arbitraire no des) |
| -newkey rsa:2048 | demande de Génération d'une paire de clef RSA de 2048 bits et d'une demande de certificat. |
| -keyout ima2a5-rex4ever.key | spécification du nom de notre .key |
| -out ima2a5-rex4ever.csr | spécification du nom de notre demande de certificat .csr |
Pour générer en bon éduforme notre demande,l'utilitaire a besoin des informations, voici ce que nous avons répondu:
Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-rex4ever.site
Email Address []:pascal.coint@polytech-lille.net
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop!
Optionnal informations :
Affectation du certificat sur Gandi.net
Après avoir répondu , il génère alors 2 fichiers. Le .key est notre clef privée elle restera donc en notre unique possession. On partage avec gandhi (qui est également un générateur de certificat) notre .csr. Il va donc étudier la validité de notre domaine et le certifier ou non.
Contenu de notre CSR
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
Paramétrage du certificat
Machine virtuelle
Client Wifi
Description
Notre Client Wi-fi est un ordinateur portable fourni par Monsieur Redon. Il ne nécessite pas nécessairement de configuration. Cependant, la clef Wi-Fi fournie avec elle doit être paramétrée (la datasheet peut se trouver à l'adresse suivant ; Datasheet).
