ctlogconfig, l'utilitaire de configuration du service de transparence des certificats

Langues Disponibles: en | fr

ctlogconfig est un utilitaire permettant de créer et maintenir une base de données pour la configuration du service de transparence des certificats utilisable par le module mod_ssl_ct ; nous nous référerons à ce service sous le terme "log" dans la suite de cette documentation.

Avant d'aller plus loin, et si ce n'est déjà fait, veuillez consulter le document Configuration des logs dans la documentation du module mod_ssl_ct.

Vous pouvez vous inspirer des exemples ci-dessous pour une utilisation typique.

Exemples et définitions
Commandes
Exemples

Voir aussi

Exemples et définitions ¶

ctlogconfig /path/to/db dump

ctlogconfig /path/to/db configure-public-key [ log-id|record-id ] /path/to/public-key.pem

ctlogconfig /path/to/db configure-url [ log-id|record-id ] log-URL

ctlogconfig /path/to/db valid-time-range log-id|record-id min-timestamp max-timestamp

ctlogconfig /path/to/db trust log-id|record-id

ctlogconfig /path/to/db distrust log-id|record-id

ctlogconfig /path/to/db forget log-id|record-id

log-id: Il s'agit de l'identifiant du log qui est généré en effectuant un hash SHA-256 au format hexadécimal de la clé publique du log. La taille de cette chaîne est de 64 caractères.
record-id: Il s'agit du numéro d'enregistrement dans la base de données, tel qu'il s'affiche avec la sous-commande dump, préfixé par le caractère #. Par exemple, #4 renvoie au quatrième enregistrement de la base de données (utilisez le mécanisme d'échappement du shell si nécessaire).
/path/to/public-key.pem: Il s'agit du chemin vers le fichier contenant la clé publique du log au format PEM. En effet, la clé publique n'est pas stockée dans la base de données, et le fichier ne peut donc pas être supprimé jusqu'à ce que la donnée qui y fait référence dans la base de données soit supprimée ou modifiée.
min-timestamp, max-timestamp: Un repère de temps (timestamp) est un temps exprimé en millisecondes depuis le temps epoch, sans tenir compte des secondes sautées. C'est le format de temps utilisé dans les SCTs. Le repère de temps doit être fourni sous la forme d'un nombre décimal.
Spécifiez - pour un des repères de temps s'il n'est pas connu. Par exemple, lorsque vous définissez le repère de temps minimum valide pour un log qui reste valide, spécifiez - pour max-timestamp.
Les SCTs reçu par le mandataire depuis ce log seront invalides si le repère de temps est plus ancien que min-timestamp ou plus récent que max-timestamp.

Commandes ¶

dump: Affiche les éléments de configuration de la base de données. L'identifiant des enregistrements que cette commande affiche peut servir de référence pour les enregistrements devant être affectés par les autres commandes.
configure-public-key: Ajoute une clé publique pour un log de la base de données ou modifie la clé publique d'un log existant. La clé publique d'un log permet de valider la signature des SCTs (Signed certificate Timestamp) reçus par un mandataire depuis un serveur d'arrière-plan (La base de données sera créée si elle n'existe pas encore).
configure-url: Ajoute une URL pour un log de la base de données ou modifie l'URL d'un log existant. L'URL d'un log permet de soumettre des certificats de serveur à ce dernier afin d'obtenir des SCTs qui pourront être envoyés aux clients (La base de données sera créée si elle n'existe pas encore).
valid-time-range: Cette commande permet de définir le temps de validation minimum et/ou maximum pour un log. Les SCTs en provenance du log possédant un repère de temps en dehors de la plage définie seront rejetés. Utilisez - pour un temps non défini (La base de données sera créée si elle n'existe pas encore).
trust: Marque un log comme digne de confiance, ce qui est la situation par défaut. Cette command permet de marquer un log comme digne de confiance, alors que ce n'était pas le cas auparavant (La base de données sera créée si elle n'existe pas encore).
distrust: Marque un log comme non digne de confiance (La base de données sera créée si elle n'existe pas encore).
forget: Supprime de la base de données les informations relatives à un log.

Exemples ¶

Soit une instance de httpd Apache qui fonctionne en tant que serveur TLS et mandataire. Le serveur TLS doit obtenir des SCTs de la part de certains logs connus afin de pouvoir les transmettre aux clients, et le mandataire doit pouvoir valider la signature des SCTs en provenance des serveurs d'arrière-plan.

Nous allons tout d'abord définir les URLs des logs où les certificats sont enregistrés :

$ ctlogconfig /path/to/conf/log-config configure-url http://log1.example.com/ $ ctlogconfig /path/to/conf/log-config configure-url http://log2.example.com/ $ ctlogconfig /path/to/conf/log-config dump Log entry: Record 1 Log id : (not configured) Public key file: (not configured) URL : http://log1.example.com/ Time range : -INF to +INF Log entry: Record 2 Log id : (not configured) Public key file: (not configured) URL : http://log2.example.com/ Time range : -INF to +INF

Nous pouvons maintenant attribuer une clé publique à un log où le certificat de notre seul serveur d'arrière-plan est publié. Dans notre cas, il s'agit du log dont l'URL est http://log2.example.com/, et qui a déjà été configuré.

$ ctlogconfig /path/to/conf/log-config configure-public-key \#2 /path/to/conf/log2-pub.pem $ ctlogconfig /path/to/conf/log-config dump Log entry: Record 1 Log id : (not configured) Public key file: (not configured) URL : http://log1.example.com/ Time range : -INF to +INF Log entry: Record 2 Log id : (not configured) Public key file: /path/to/conf/log2-pub.pem URL : http://log2.example.com/ Time range : -INF to +INF

ctlogconfig, l'utilitaire de configuration du service de transparence des certificats

Voir aussi

Exemples et définitions ¶

Commandes ¶

Exemples ¶

Commentaires