Programs
ctlogconfig, l'utilitaire de configuration du service de
transparence des certificats
ctlogconfig est un utilitaire permettant de créer et
maintenir une base de données pour la configuration du service de
transparence des certificats utilisable par le module
mod_ssl_ct ; nous nous référerons à ce service
sous le terme "log" dans la suite de cette documentation.
Avant d'aller plus loin, et si ce n'est déjà fait, veuillez
consulter le document Configuration des logs
dans la documentation du module mod_ssl_ct.
Vous pouvez vous inspirer des exemples
ci-dessous pour une utilisation typique.
mod_ssl_ct
Exemples et définitions
ctlogconfig /path/to/db dump
ctlogconfig /path/to/db configure-public-key
[ log-id|record-id ]
/path/to/public-key.pem
ctlogconfig /path/to/db configure-url
[ log-id|record-id ]
log-URL
ctlogconfig /path/to/db valid-time-range
log-id|record-id
min-timestamp max-timestamp
ctlogconfig /path/to/db trust
log-id|record-id
ctlogconfig /path/to/db distrust
log-id|record-id
ctlogconfig /path/to/db forget
log-id|record-id
- log-id
- Il s'agit de l'identifiant du log qui est généré en effectuant
un hash SHA-256 au format hexadécimal de la clé publique du log.
La taille de cette chaîne est de 64 caractères.
- record-id
- Il s'agit du numéro d'enregistrement dans la base de données,
tel qu'il s'affiche avec la sous-commande dump,
préfixé par le caractère #. Par exemple,
#4 renvoie au quatrième enregistrement de la base
de données (utilisez le mécanisme d'échappement du shell si
nécessaire).
- /path/to/public-key.pem
- Il s'agit du chemin vers le fichier contenant la clé publique du
log au format PEM. En effet, la clé publique n'est pas stockée dans la base de
données, et le fichier ne peut donc pas être supprimé jusqu'à ce que
la donnée qui y fait référence dans la base de données soit
supprimée ou modifiée.
- min-timestamp, max-timestamp
- Un repère de temps (timestamp) est un temps exprimé en
millisecondes depuis le temps epoch, sans tenir compte des secondes
sautées. C'est le format de temps utilisé dans les SCTs. Le repère
de temps doit être fourni sous la forme d'un nombre décimal.
Spécifiez - pour un des repères de
temps s'il n'est pas connu. Par exemple, lorsque vous définissez le
repère de temps minimum valide pour un log qui reste valide,
spécifiez - pour
max-timestamp.
Les SCTs reçu par le mandataire depuis ce log seront invalides si le
repère de temps est plus ancien que min-timestamp ou plus
récent que max-timestamp.
Commandes
- dump
- Affiche les éléments de configuration de la base de données.
L'identifiant des enregistrements que cette commande affiche peut
servir de référence pour les enregistrements devant être affectés
par les autres commandes.
- configure-public-key
- Ajoute une clé publique pour un log de la base de données ou
modifie la clé publique d'un log existant. La clé publique d'un log
permet de valider la signature des SCTs (Signed certificate
Timestamp) reçus par un mandataire depuis un serveur d'arrière-plan
(La base de données sera créée si elle n'existe pas encore).
- configure-url
- Ajoute une URL pour un log de la base de données ou modifie
l'URL d'un log existant. L'URL d'un log permet de soumettre des
certificats de serveur à ce dernier afin d'obtenir des SCTs qui
pourront être envoyés aux clients (La base de données sera créée si
elle n'existe pas encore).
- valid-time-range
- Cette commande permet de définir le temps de validation minimum
et/ou maximum pour un log. Les SCTs en provenance du log possédant
un repère de temps en dehors de la plage définie seront rejetés.
Utilisez
- pour un temps non défini (La base de données
sera créée si elle n'existe pas encore).
- trust
- Marque un log comme digne de confiance, ce qui est la situation
par défaut. Cette command permet de marquer un log comme digne de
confiance, alors que ce n'était pas le cas auparavant (La base de
données sera créée si elle n'existe pas encore).
- distrust
- Marque un log comme non digne de confiance (La base de
données sera créée si elle n'existe pas encore).
- forget
- Supprime de la base de données les informations relatives
à un log.
Exemples
Soit une instance de httpd Apache qui fonctionne en tant que
serveur TLS et mandataire. Le serveur TLS doit obtenir des SCTs de la
part de certains logs connus afin de pouvoir les transmettre aux
clients, et le mandataire doit pouvoir valider la signature des SCTs
en provenance des serveurs d'arrière-plan.
Nous allons tout d'abord définir les URLs des logs où les
certificats sont enregistrés :
$ ctlogconfig /path/to/conf/log-config configure-url http://log1.example.com/
$ ctlogconfig /path/to/conf/log-config configure-url http://log2.example.com/
$ ctlogconfig /path/to/conf/log-config dump
Log entry:
Record 1
Log id : (not configured)
Public key file: (not configured)
URL : http://log1.example.com/
Time range : -INF to +INF
Log entry:
Record 2
Log id : (not configured)
Public key file: (not configured)
URL : http://log2.example.com/
Time range : -INF to +INF
Nous pouvons maintenant attribuer une clé publique à un log où le
certificat de notre seul serveur d'arrière-plan est publié. Dans notre
cas, il s'agit du log dont l'URL est http://log2.example.com/, et qui
a déjà été configuré.
$ ctlogconfig /path/to/conf/log-config configure-public-key \#2 /path/to/conf/log2-pub.pem
$ ctlogconfig /path/to/conf/log-config dump
Log entry:
Record 1
Log id : (not configured)
Public key file: (not configured)
URL : http://log1.example.com/
Time range : -INF to +INF
Log entry:
Record 2
Log id : (not configured)
Public key file: /path/to/conf/log2-pub.pem
URL : http://log2.example.com/
Time range : -INF to +INF