Étape 3: Créer un certificat d’utilisateur ICP pour la signature de l’objet
Le certificat d’utilisateur doit être utilisable pour signer du code. Ce n’est pas fourni dans les certificats d’utilisateur « standard » qui sont pour la plupart des certificats ssl. Nous avons donc besoin d’ajouter quelques fonctionnalités à la config (ces fonctionnalités ne peuvent pas être fournies comme arguments de ligne de commande openssl).
- Modifier la openssl.cnf et recherchez la section « [v3_req] ». Ajoutez les lignes suivantes du présent article :
extendedKeyUsage = codeSigning, msCodeInd, msCodeCom nsCertType = client, email, objsign
- Créez dans le dossier de demoCA un fichier « v3.cfg » et mettre les lignes suivantes :
# Extensions to add to a certificate request subjectKeyIdentifier=hashbasicConstraints = CA:FALSEkeyUsage = digitalSignatureextendedKeyUsage = codeSigning, msCodeInd, msCodeComnsCertType = client, email, objsign
- Dans la même boîte DOS comme avant, donner les commandes suivantes pour créer une clé privée et un certificat de signature demande des entreprises (RSE) et à signer par l’autorité de certification qui délivre le certificat de l’utilisateur.
D:\Openssl\openssl.exe genrsa -out private\userkey.pem 2048D:\Openssl\openssl.exe req -new -key private\userkey.pem -reqexts v3_req -out user.csr -nodes -subj "/CN=localhost" D:\Openssl\openssl.exe x509 -req -days 3650 -in user.csr -CA cacert.crt -CAkey private\cakey.pem -extfile v3.cfg -out certs\user.crt
Double-cliquez sur le certs\user.crt pour voir le certificat de l’utilisateur. Notez également les extensions.