SSL - chaîne de certificats

Le
JGP_NoMail
Bonjour,

Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?

Ca R -- Racine
+--> Ca RA
| +> ca RAA
| +> ca RAB
| +> ca RAC
+--> Ca RB
| +> ca RBA
| +> ca RBB


Le client peut-il authentifier le serveur ? Si oui, comment ?

Merci pour vos réponse.

JGP
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Julien Vehent
Le #2630331
On 8 avr, 19:08, JGP_NoMail
Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?

Ca R -- Racine
+--> Ca RA
| +---> ca RAA
| +---> ca RAB
| +---> ca RAC
+--> Ca RB
| +---> ca RBA
| +---> ca RBB


Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.

Le client, qui possède déjà le certificat racine, reçoit donc le
certif serveur et le certif intermédiaire. Il peut donc contrôler
l'ensemble de la chaine de certification.



Le client peut-il authentifier le serveur ? Si oui, comment ?


En verifiant que le certificat est valide est que le Common Name du
certificat correspondant au nom FQDN (dns) auquel il accède. (ca c'est
pour un navigateur web)


Merci pour vos réponse.

JGP


JGP_NoMail
Le #2635211
Bonjour,


[SNIP]

Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.


OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?

JGP

Julien Vehent
Le #2635201
On 9 avr, 12:29, JGP_NoMail
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?



J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.

JGP_NoMail
Le #2638551
On 9 avr, 12:29, JGP_NoMail
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?



J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.


C'est bon , j'ai trouvé. Il faut mettre dans le fichier de config :
"CAfile = ListeCertificats.pem" avec devant Verify=1.

Merci pour ton aide.

JGP


Publicité
Poster une réponse
Anonyme