X509 - certificat

Le
zx
bonjour,

j'espère être au bon endroit, je travaille avec les certificat X509, pour un
test web , explorer
sous vista et un serveur apache linux

j'ai cree un Root CA (autorite de confiance), un certificat serveur, un
certificat utilisateur

j'ai signé avec mon Root CA mon certficat utilisateur et serveur

Je n'ai pas encore creer d'autorite intermediaire.

j'ai exporté dans pkcs12 mon certificat utilisateur, import dans le cabinet
des certificats de windows

pas de probleme jusque la, sauf que lors que j'affiche le detail des
informations, il me dit que mon certificat a expire ou n'est plus valide,
les date sont bonnes.

j'ai exporte l'autorite de confiance, autrement dit Le Root CA, ok, mais
toujours le meme probleme.

Quelqu'un à une piste ? moi en panne seche, meme avec mon copain google,
sniff ! OUIIIIIIIN! snif!

Ensuite je pourrai configurer mon apache pour tester mon certificat server.

Merci pour vos réponse

cordialement
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
zx
Le #869967
Désolé, j'ai trouvé ,screegnegneu

Les date etaient valide, mais mon serveur linux etait une heure en avance,
quand j'ai exporte mes certficats client, j'ai du attendre pour qu'ils
soient
valide 1h plus tard dans mon window.

bon ! je continu

Merci !

cordialement
zx
Le #869964
bonjour

petite question

Je me connecte a mon serveur linux, mon serveur apache tourne avec ssl

quand me connecte avec mozilla, il me pose une question
comme quoi il ne reconnait pas bien mon certificat serveur.
mais que je peux le forcer a accpter, effectivement apres ca marche bien.
mais ca marchote, ce qui me plait pas.

- Il dit qu'il ne reconnait pas l'autorite de confiance, pourtant elle est
dedans

- Le certificat est incomplet, peut etre, mais je vois pas ce qui lui
manque,

- Une mauvaise config serveur, ca m'etonnerait un peu.


Dans Internet Explorer 7, il ne veut pas en entendre parler.

Pourtant j'ai signé avec le Root CA le certificat serveur et le certficat
client.



Est ce qu'il fait des controles sur le CN, en plus des periodes de validite
je me connecte sur le virtual host avec www.xpcorba.com, et dans mon CN
j'ai corba dans mon certificat serveur

Quelqu'un a une idée ?

voir image
http://www.hiboox.com/lang-fr/image.php?img=cs8i2n4e.jpg

Merci pour vos infos

cordialement
Eric Masson
Le #869963
"zx"
'Lut,

Pourtant j'ai signé avec le Root CA le certificat serveur et le
certficat client.


Ton certificat racine n'est pas reconnu comme une autorité valide par le
navigateur.

Tu peux soit importer ton certif racine dans les autorités reconnues par
le navigateur ou faire signer ton certif racine par une autorité
reconnue.

--
DA> à moins qu'il n'y ait une recette du magret à la Guinness ?
Faut pas confondre canette et cannette.
-+- TT in : GNU - Coin coin, le poivrot et la bouteille de gnac -+-

zx
Le #869962
je pense avoir compris,

effectivement, cote certificat serveur, il faut le CN (common name)
correspond au nom de domaine,
en l occurence www.xpcorba.com sinon mozilla rejete. maintenant ca marche
bien.

Coté IE7, il est plus dur dans ses controles, il verifie les date et heure
de debut de
validite, je dois attendre 1h pour voir la prise en compte, sachant que la
date debut
certificat demarre a +1h lors de sa creation.
zx
Le #869961
ca marche aussi avec IE7, j'ai activer authent client par le serveur

maintenant que mes certif marchent, il reste a mon menu, un ldap, un flux en
c client/serveur ssl, les crl .

je suis content.
zx
Le #869959
Encore une petite question,

lorsque je genere une bi cle aes avec la commande

openssl genrsa -aes256 -out private/macle.key -rand private/.rand 4096

on doit saisir une pass phrase, pour proteger la cle, ok

quand j utilise la ??.key pour signer les certificats, il demande la
pass phrase, jusque la j'ai pas de probleme

mais la ou ca ne va pas, lors de l'utilisation, quand je redemarre
le serveur appache, il demande la pass phrase pour la cle, ca me parait
anormal a ce stade d'utilisation. je ne suis plus en installation.
ca me parait lourd en arret/relance de serveur.

j'ai du rater quelque chose, ou un parametre

Si quelqu'un connait deja le truc, ca m'evite de chercher

Merci

cordialement
zx
Le #869738
J'oubliai, c'est aussi genant lors du demarrage atomatique lors du boot,
ca plante apache. je suis obligé de killer et de redemarrer manuellement
avec la saisie de la pass phrase
zx
Le #869737
bon j'ai trouve,

comme la cle prive du serveur est crypte, normal qu'il demande

solution, convertir le fichier key

openssl rsa -in monserveramoi.key -out monserveramoi.pem

je met le pem dans mon virtual host a la place du key, c'est fou ce que ca
marche mieux,
plus de passe phrase au demarrage d apache

cordialement
zx
Le #869731
Nouvelle etape avec les certificats, j utilise les certificat via un flux
socket SSL

au debut je pensai que les formats pem après génération contenaient aussi la
cle privé,
mais j'ai vu vite que je tombai en erreur sur le chargement de la cle prive
en expecting private ANY_KEY dans mon programme

j'ai écris un progrramme en langage c , un client qui utilise client.pem
et un serveur qui utilise serveur.pem

mais je suis contraint d'ajouter servkey.pem et clikey.pem, pas de probleme
mes echange ssl marchent.

Mis j'ai vu des exemples qui n'utilise qu'un seul fichier pem, que je
suppose
contenir aussi la cle prive. mais comment ils ont generer ?

Est ce possible de regrouper cle publique, cle prive dans un meme pem ?
jusqu'a present j'ai toujours charge separement.


un petit bout du code, c'est le meme cote serveur.

#define CERTFILE_PEM "clicert.pem"
#define CERTKEY_PEM "clikey.pem"


SSL_CTX *set_client_ctx(void)
{
SSL_CTX *ctx;

ctx=SSL_CTX_new( SSLv23_method());

if ( SSL_CTX_use_certificate_chain_file(ctx,CERTFILE_PEM) != 1 ) {
init_error("Error loading certificate from file");
return NULL;
}

if ( SSL_CTX_use_PrivateKey_file(ctx, CERTKEY_PEM,
SSL_FILETYPE_PEM) != 1) {
init_error("Error loading private key file");
return NULL;
}
return ctx;

}
zx
Le #869730
ok, j'ai compris,

en fait il faut regrouper les pem en un seul, c'est la reponse

cat rootca.pem cert.pem key.pem > server.pem
et ca marche .

Mais est ce que je dois signer a nouveau avec la CA le server.pem ?
Publicité
Poster une réponse
Anonyme