Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?
Ca R -- Racine
+--> Ca RA
| +---> ca RAA
| +---> ca RAB
| +---> ca RAC
+--> Ca RB
| +---> ca RBA
| +---> ca RBB
Le client peut-il authentifier le serveur ? Si oui, comment ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Julien Vehent
On 8 avr, 19:08, JGP_NoMail wrote:
Comment se passe la vérification d'un chaîne de certificat dans le cas ou le client dispose seulement du certificat racine du serveur (CA R) avec, par exemple la chaîne de certification ci-dessous et un client qui se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?
Ca R -- Racine +--> Ca RA | +---> ca RAA | +---> ca RAB | +---> ca RAC +--> Ca RB | +---> ca RBA | +---> ca RBB
Tu décris une chaine d'authentification qui utilise un certificat intermédiaire. Comme le certificat RAA est signé par le certificat intermédiaire, il faut bien que ton client en ais la connaissance. Il doit donc être renvoyé par le serveur en plus de son certificat. C'est typiquement ce qui se passe quand on dispose d'un certificat serveur verisign. Il faut configurer le serveur pour qu'il renvoie également le certificat intermédiaire verisign.
Le client, qui possède déjà le certificat racine, reçoit donc le certif serveur et le certif intermédiaire. Il peut donc contrôler l'ensemble de la chaine de certification.
Le client peut-il authentifier le serveur ? Si oui, comment ?
En verifiant que le certificat est valide est que le Common Name du certificat correspondant au nom FQDN (dns) auquel il accède. (ca c'est pour un navigateur web)
Merci pour vos réponse.
JGP
On 8 avr, 19:08, JGP_NoMail <NoM...@Invalid-server.com.invalid> wrote:
Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?
Ca R -- Racine
+--> Ca RA
| +---> ca RAA
| +---> ca RAB
| +---> ca RAC
+--> Ca RB
| +---> ca RBA
| +---> ca RBB
Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.
Le client, qui possède déjà le certificat racine, reçoit donc le
certif serveur et le certif intermédiaire. Il peut donc contrôler
l'ensemble de la chaine de certification.
Le client peut-il authentifier le serveur ? Si oui, comment ?
En verifiant que le certificat est valide est que le Common Name du
certificat correspondant au nom FQDN (dns) auquel il accède. (ca c'est
pour un navigateur web)
Comment se passe la vérification d'un chaîne de certificat dans le cas ou le client dispose seulement du certificat racine du serveur (CA R) avec, par exemple la chaîne de certification ci-dessous et un client qui se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?
Ca R -- Racine +--> Ca RA | +---> ca RAA | +---> ca RAB | +---> ca RAC +--> Ca RB | +---> ca RBA | +---> ca RBB
Tu décris une chaine d'authentification qui utilise un certificat intermédiaire. Comme le certificat RAA est signé par le certificat intermédiaire, il faut bien que ton client en ais la connaissance. Il doit donc être renvoyé par le serveur en plus de son certificat. C'est typiquement ce qui se passe quand on dispose d'un certificat serveur verisign. Il faut configurer le serveur pour qu'il renvoie également le certificat intermédiaire verisign.
Le client, qui possède déjà le certificat racine, reçoit donc le certif serveur et le certif intermédiaire. Il peut donc contrôler l'ensemble de la chaine de certification.
Le client peut-il authentifier le serveur ? Si oui, comment ?
En verifiant que le certificat est valide est que le Common Name du certificat correspondant au nom FQDN (dns) auquel il accède. (ca c'est pour un navigateur web)
Merci pour vos réponse.
JGP
JGP_NoMail
Bonjour,
[SNIP]
Tu décris une chaine d'authentification qui utilise un certificat intermédiaire. Comme le certificat RAA est signé par le certificat intermédiaire, il faut bien que ton client en ais la connaissance. Il doit donc être renvoyé par le serveur en plus de son certificat. C'est typiquement ce qui se passe quand on dispose d'un certificat serveur verisign. Il faut configurer le serveur pour qu'il renvoie également le certificat intermédiaire verisign.
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
JGP
Bonjour,
[SNIP]
Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?
Tu décris une chaine d'authentification qui utilise un certificat intermédiaire. Comme le certificat RAA est signé par le certificat intermédiaire, il faut bien que ton client en ais la connaissance. Il doit donc être renvoyé par le serveur en plus de son certificat. C'est typiquement ce qui se passe quand on dispose d'un certificat serveur verisign. Il faut configurer le serveur pour qu'il renvoie également le certificat intermédiaire verisign.
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
JGP
Julien Vehent
On 9 avr, 12:29, JGP_NoMail wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en utilisant l'option -a tu dois pouvoir faire quelque chose... mais la liste des users de stunnel sera certainement plus à même de t'apporter une réponse la dessus.
On 9 avr, 12:29, JGP_NoMail <NoM...@Invalid-server.com.invalid> wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en utilisant l'option -a tu dois pouvoir faire quelque chose... mais la liste des users de stunnel sera certainement plus à même de t'apporter une réponse la dessus.
JGP_NoMail
On 9 avr, 12:29, JGP_NoMail wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en utilisant l'option -a tu dois pouvoir faire quelque chose... mais la liste des users de stunnel sera certainement plus à même de t'apporter une réponse la dessus.
C'est bon , j'ai trouvé. Il faut mettre dans le fichier de config : "CAfile = ListeCertificats.pem" avec devant Verify=1.
Merci pour ton aide.
JGP
On 9 avr, 12:29, JGP_NoMail <NoM...@Invalid-server.com.invalid> wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.
C'est bon , j'ai trouvé. Il faut mettre dans le fichier de config :
"CAfile = ListeCertificats.pem" avec devant Verify=1.
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le configurer qu'il fasse cela ?
J'imagine qu'en le mettant dans le répertoire de certificats et en utilisant l'option -a tu dois pouvoir faire quelque chose... mais la liste des users de stunnel sera certainement plus à même de t'apporter une réponse la dessus.
C'est bon , j'ai trouvé. Il faut mettre dans le fichier de config : "CAfile = ListeCertificats.pem" avec devant Verify=1.