Filters

Base de données – Authentification X.509 dans la base de données RIPE

 

Base de données – Authentification X.509 dans la base de données RIPE

 

Introduction

 

Vous pouvez utiliser l’authentification X.509 avec toutes les méthodes d’envoi de mises à jour à la base de données Whois. Peu importe la méthode que vous utilisez, vous devez avoir un certificat et une clé privée. Si vous avez déjà un certificat émis par une autre autorité de certification, vous pouvez l’utiliser. Si tel n’est pas le cas et que vous êtes un Registre Internet local (LIR), vous pouvez en créer un avec RIPE étant donné qu’AfriNIC n’opère pas encore comme autorité de certification. Sinon, vous devez générer votre propre certificat autosigné. L’implémentation par AfriNIC de X.509 pour la signature de mises à jour vers la base de données Whois n’est pas concernée par le chemin de confiance d’un certificat. Le certificat est utilisé uniquement afin de stocker la clé publique dans un objet key-cert pour correspondre à votre clé privée. Il n’est pas tenu compte des listes de révocation de certificats. C’est pourquoi un certificat autosigné suffit amplement pour les besoins de signature de mises à jour de base de données.

 

Si vous souhaitez envoyer vos mises à jour à partir d’un client mail qui supporte S/MIME, vous pouvez importer votre certificat dans le client mail et l’utiliser pour signer les messages de mise à jour. Si votre client mail de préférence ne supporte pas S/MIME, vous pouvez signer vos messages depuis la ligne de commande en utilisant OpenSSL, puis copier-coller le message signé dans la fenêtre de composition du client mail. Etant donné que la base de données d’AfriNIC repose sur une base de données RIPE NCC, des essais ont été entrepris sur certains clients mail pour vérifier la compatibilité avec

S/MIME. Les résultats de ces essais sont disponibles dans le document « Essais de compatibilité avec S/MIME sur des clients mail ».

 

Paramétrage de votre client mail

 

En premier lieu, vous devez générer un certificat.

 

Une fois le certificat généré, choisissez une option pour exporter ou sauvegarder le certificat et la clé privée de votre navigateur. Vous trouverez certaines instructions sur la marche à suivre dans la documentation RIPE NCC à l’Annexe A1.2.

 

Importez le certificat et la clé privée sauvegardés dans votre client mail.

 

Paramétrage de la base de données

Vous pouvez maintenant signer des messages provenant de votre client mail. L’étape suivante est de paramétrer la base de données d’AfriNIC. A cet effet, vous devez créer un nouvel objet key-cert X.509 et paramétrer l’autorisation dans l’objet mntner pour l’utilisation de X.509.

 

Création de l’objet key-cert

 

Vous devez créer un objet key-cert selon le modèle suivant :

 

key-cert: [mandatory] [single] [primary/look-up key]

method: [generated] [single] [ ]

owner: [generated] [multiple] [ ]

fingerpr: [generated] [single] [inverse key]

certif: [mandatory] [multiple] [ ]

remarks: [optional] [multiple] [ ]

notify: [optional] [multiple] [inverse key]

admin-c: [optional] [multiple] [inverse key]

tech-c: [optional] [multiple] [inverse key]

mnt-by: [mandatory] [multiple] [inverse key]

changed: [mandatory] [multiple] [ ]

source: [mandatory] [single] [ ]

 

Vous devez utiliser OpenSSL pour convertir le certificat au format texte ASCII. Le fichier de sauvegarde exporté de votre navigateur et contenant votre certificat ainsi que votre clé privée est au format binaire et l’extension de fichier devrait être .p12. Utilisez OpenSSL pour convertir ce fichier binaire en un fichier ASCII qui aura l’extension de fichier .pem.

La commande y relative est comme suit :

 

openssl pkcs12 -clcerts ascii.pem

 

Maintenant, ouvrez le fichier ascii.pem dans un éditeur de texte. Enlevez tout le contenu du fichier sauf le certificat. Celui-ci est délimité par les lignes :

 

-----BEGIN CERTIFICATE-----

......

-----END CERTIFICATE-----

 

Vous devez aussi conserver ces lignes BEGIN et END. Cela représente désormais les données de certificat de votre objet key-cert. Ajoutez le nom d’attribut « certif: » au début de chacune de ces lignes.

 

Par exemple :

 

certif: -----BEGIN CERTIFICATE-----

certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx

certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv

certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu

certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC

certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD

certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51

certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC

certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0

certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9

certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac

certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4

certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y

certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg

certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG+EIBDQQNFgtSSVBF

certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB

certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw

certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0

certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l

certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn

certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI

certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww

certif: PeUqjPPTZg==

certif: -----END CERTIFICATE-----

 

Les attributs « method: », « owner: » et « fingerpr: » seront générés automatiquement par le programme de mise à jour de la base de données. Ils peuvent donc être ignorés à ce stade. Le seul attribut requis avant les données « certif: » est « key-cert: ». Étant donné que la valeur de nom de cet attribut est générée automatiquement, ajoutez cette ligne au début du fichier :

 

key-cert: AUTO-1

 

Ce nom est aussi utilisé comme balise dans les attributs « auth: » du maintainer. Il a donc été décidé de ne proposer aucun choix concernant le nom. Le nom généré sera du type

X509-nnn et nnn est le prochain nombre disponible. Ces nombres ne seront pas utilisés à nouveau. Une fois l’objet key-cert supprimé, il n’est pas possible d’en créer un autre avec le même nom.

 

Le reste de l’objet key-cert après les attributs « certif: » ressemble à ce qui suit :

 

remarks: Sample Key Certificate

notify: you@your_domain.net

mnt-by: YOUR-MNT

changed: you@your_domain.net 20040101

source: AFRINIC

 

L’objet key-cert final ressemble à ce qui suit :

 

key-cert: AUTO-1

certif: -----BEGIN CERTIFICATE-----

certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx

certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv

certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu

certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC

certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD

certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51

certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC

certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0

certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9

certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac

certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4

certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y

certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg

certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG+EIBDQQNFgtSSVBF

certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB

certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw

certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0

certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l

certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn

certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI

certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww

certif: PeUqjPPTZg==

certif: -----END CERTIFICATE-----

remarks: Sample Key Certificate

notify: you@your_domain.net

mnt-by: YOUR-MNT

changed: you@your_domain.net 20050101

source: AFRINIC

 

Il peut maintenant être envoyé au programme de mise à jour de la base de données en l’envoyant dans un courriel à This e-mail address is being protected from spambots. You need JavaScript enabled to view it , ou en utilisant les méthodes syncupdates ou webupdates.

 

L’objet final créé dans la base de données ressemble à ce qui suit :

 

key-cert: X509-23

method: X509

owner: /C=NL/O=AFRINIC/OU=Members/CN=tg.dodo.administrator

\ /Email=you@your_domain.net

fingerpr: AC:B5:B1:36:95:F3:46:93:B1:2D:58:EB:E1:46:DA:3F

certif: -----BEGIN CERTIFICATE-----

certif: MIID8zCCA1ygAwIBAgICAIIwDQYJKoZIhvcNAQEEBQAwcTELMAkGA1UEBhMCRVUx

certif: EDAOBgNVBAgTB0hvbGxhbmQxEDAOBgNVBAoTB25jY0RFTU8xHTAbBgNVBAMTFFNv

certif: ZnR3YXJlIFBLSSBUZXN0aW5nMR8wHQYJKoZIhvcNAQkBFhBzb2Z0aWVzQHJpcGUu

certif: bmV0MB4XDTAzMDkwODEwMjYxMloXDTA0MDkwNzEwMjYxMlowfTELMAkGA1UEBhMC

certif: TkwxETAPBgNVBAoTCFJJUEUgTkNDMRAwDgYDVQQLEwdNZW1iZXJzMRgwFgYDVQQD

certif: Ew91ay5idC50ZXN0LXVzZXIxLzAtBgkqhkiG9w0BCQEWIHRlc3QtdXNlckBsaW51

certif: eC50ZXN0bGFiLnJpcGUubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC

certif: AQEArv3srxyl1QA3uS4dxdZbSsGrfBrMRjMb81Gnx0nqa6i+RziIf13lszB/EYy0

certif: PgLpQFdGLdhUQ52YsiGOUmMtnaWNHnEJrBUc8/fdnA6GVdfF8AEw1PTfJ6t2Cdc9

certif: 2SwaF+5kCaUDwmlOgbM333IQmU03l3I1ILs32RpQyZ+df/ovHNrVzeLc2P59isac

certif: bfjM2S0SXPQzHjuVLH40eOgVuXA/5LAYs51eXqwtKszSxFhqekf+BAEcRDrXmIT4

certif: e3zfiZOsXKe0UfaEABgHUMrYjsUCJ8NTMg6XiVSNwQQmXCdUbRvK7zOCe2iCX15y

certif: 9hNXxhY/q/IW54W5it7jGXq/7wIDAQABo4IBCDCCAQQwCQYDVR0TBAIwADARBglg

certif: hkgBhvhCAQEEBAMCBaAwCwYDVR0PBAQDAgXgMBoGCWCGSAGG+EIBDQQNFgtSSVBF

certif: IE5DQyBDQTAdBgNVHQ4EFgQUzdajNaRorkDTAW5O6Hpa3z9pP3AwgZsGA1UdIwSB

certif: kzCBkIAUHpLUfvaBVfxXVCcT0kh9NJeH7ouhdaRzMHExCzAJBgNVBAYTAkVVMRAw

certif: DgYDVQQIEwdIb2xsYW5kMRAwDgYDVQQKEwduY2NERU1PMR0wGwYDVQQDExRTb2Z0

certif: d2FyZSBQS0kgVGVzdGluZzEfMB0GCSqGSIb3DQEJARYQc29mdGllc0ByaXBlLm5l

certif: dIIBADANBgkqhkiG9w0BAQQFAAOBgQByg8L8RaiIz5k7n5jVwM/0oHSf48KRMBdn

certif: YdN2+eoEjVQbz48NtjbBTsOiUYj5AQWRHJrKtDQ+odbog0x7UsvhXjjBo/abJ6vI

certif: AupjnxP3KpSe73zmBUiMU8mvXLibPP1xuI2FPM70Y7fgeUehbmT7wdgqs7TEtYww

certif: PeUqjPPTZg==

certif: -----END CERTIFICATE-----

remarks: Sample Key Certificate

notify: you@your_domain.net

mnt-by: YOUR-MNT

changed: you@your_domain.net 20040101

source: AFRINIC

 

Mise à jour du maintainer

 

L’étape finale afin d’utiliser X.509 est de paramétrer l’autorisation de votre objet mntner pour accepter X.509. Il est conseillé en premier lieu de conserver la méthode d’autorisation existante de votre maintainer et d’ajouter X.509 comme méthode supplémentaire. Après essayé son utilisation avec succès, vous pouvez supprimer les méthodes offrant une sécurité moindre, notamment les mots de passe.

 

Si votre objet mntner existant ressemble à ce qui suit :

 

mntner: YOUR-MNT

descr: company maintainer object

admin-c: TP1-AFRINIC

upd-to: you@your_domain.net

referral-by: RIPE-DBM-MNT

mnt-by: YOUR-MNT

auth: CRYPT-PW dbOnSHFpKZTBU

changed: you@your_domain.net 20050101

source: AFRINIC

 

ajoutez une ligne d’autorisation supplémentaire pour X509-23 et envoyez l’objet au programme de mise à jour de la base de données de la manière habituelle, en fournissant l’autorisation existante requise. Dans l’exemple suivant, ce sera un mot de passe crypt-pw :

 

mntner: YOUR-MNT

descr: company maintainer object

admin-c: TP1-AFRINIC

upd-to: you@your_domain.net

referral-by: RIPE-DBM-MNT

mnt-by: YOUR-MNT

auth: CRYPT-PW dbOnSHFpKZTBU

auth: X509-23

changed: you@your_domain.net 20050101

source: AFRINIC

 

Utilisation de l’autorisation X.509

 

Tout est en place maintenant pour utiliser l’autorisation X.509. Vous pouvez composer un message dans votre client mail en y incluant la mise à jour. Signez le message avec votre certificat et votre clé privée. Il se peut que vous ayez à consulter la documentation pour votre client mail spécifique pour ce faire. Envoyez ensuite le courriel à This e-mail address is being protected from spambots. You need JavaScript enabled to view it . Une fois que vous aurez soumis une mise à jour réussie, vous pouvez, si vous le souhaitez, enlever de votre objet mntner la méthode d’authentification la plus faible en enlevant la ligne comme indiqué dans l’exemple suivant :

 

auth: CRYPT-PW dbOnSHFpKZTBU

 

. Les mises à jour ne peuvent maintenant être autorisées que par la méthode d’authentification la plus forte de X.509.