Un certificat généré par openssl est-il valide "partout"?
6 réponses
utilisateur1
Bonjour,
Un certificat généré par openssl est-il reconnu "partout"?
Dans une entreprise, nous souhaiterions disposer de certificats
nous permettant de nous authentifier "entre nous", et vis à vis
de tiers comme étant bien des messages provenant de notre
entreprise.
Pouvons-nous générer un certificat de CA au nom de l'entreprise?
Sera-t-il reconnu? Comme obtenir cette reconnaissance?
Les certificats signés de cette CA seront-ils reconnus?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
utilisateur1
Bonjour,
Je suis déçu de ne pas avoir de réponses :-(
Ma question est-elle idiote, sans fondement, inutile, imprécise?
Pourtant, quand on voit les textes de loi qui régissent la distribution de certificats (notamment pour les signatures électroniques), et la manière dont ils sont effectivement traités en France, il y a de quoi se poser des questions.
Bon, je reste en écoute ...
A+
Bonjour,
Je suis déçu de ne pas avoir de réponses :-(
Ma question est-elle idiote, sans fondement, inutile, imprécise?
Pourtant, quand on voit les textes de loi qui régissent la
distribution de certificats (notamment pour les signatures
électroniques), et la manière dont ils sont effectivement traités
en France, il y a de quoi se poser des questions.
Ma question est-elle idiote, sans fondement, inutile, imprécise?
Pourtant, quand on voit les textes de loi qui régissent la distribution de certificats (notamment pour les signatures électroniques), et la manière dont ils sont effectivement traités en France, il y a de quoi se poser des questions.
Bon, je reste en écoute ...
A+
Oriane
Puisque tu n'as pas de réponse je me lance, mais je dois te dire dès l'abord que je connais pas OpenSSL.
Je connais par contre la PKI de Windows, et je pense que les principes sont les mêmes.
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est délivré à toit même par toi même) de CA et le mettre dans le magain des certificats de confiance de l'entreprise. Dans ce cas c'est simple et gratuit.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign , Thawte, payants cette fois. Tu places également ce cert dans le magasin de confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert, il lui fera plus confiance qu'à un cert auto-signé.
Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter un.
Maintenant, quand tu parles de vous authentifier "entre vous", il faut être plus précis. Je suppose que tu veux générer des cert signés par le cert de CA. Sur Windows, un composant fait cela sans pb.
Oriane
"utilisateur1" a écrit dans le message de news:c6b0or$l77$ | Bonjour, | | Un certificat généré par openssl est-il reconnu "partout"? | | Dans une entreprise, nous souhaiterions disposer de certificats | nous permettant de nous authentifier "entre nous", et vis à vis | de tiers comme étant bien des messages provenant de notre | entreprise. | | Pouvons-nous générer un certificat de CA au nom de l'entreprise? | Sera-t-il reconnu? Comme obtenir cette reconnaissance? | | Les certificats signés de cette CA seront-ils reconnus? | | Merci d'avance |
Puisque tu n'as pas de réponse je me lance, mais je dois te dire dès l'abord
que je connais pas OpenSSL.
Je connais par contre la PKI de Windows, et je pense que les principes sont
les mêmes.
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est
délivré à toit même par toi même) de CA et le mettre dans le magain des
certificats de confiance de l'entreprise. Dans ce cas c'est simple et
gratuit.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign ,
Thawte, payants cette fois. Tu places également ce cert dans le magasin de
confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert,
il lui fera plus confiance qu'à un cert auto-signé.
Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter
un.
Maintenant, quand tu parles de vous authentifier "entre vous", il faut être
plus précis. Je suppose que tu veux générer des cert signés par le cert de
CA. Sur Windows, un composant fait cela sans pb.
Oriane
"utilisateur1" <utilisateur1@domaine.invalid> a écrit dans le message de
news:c6b0or$l77$1@ws41.cines.fr...
| Bonjour,
|
| Un certificat généré par openssl est-il reconnu "partout"?
|
| Dans une entreprise, nous souhaiterions disposer de certificats
| nous permettant de nous authentifier "entre nous", et vis à vis
| de tiers comme étant bien des messages provenant de notre
| entreprise.
|
| Pouvons-nous générer un certificat de CA au nom de l'entreprise?
| Sera-t-il reconnu? Comme obtenir cette reconnaissance?
|
| Les certificats signés de cette CA seront-ils reconnus?
|
| Merci d'avance
|
Puisque tu n'as pas de réponse je me lance, mais je dois te dire dès l'abord que je connais pas OpenSSL.
Je connais par contre la PKI de Windows, et je pense que les principes sont les mêmes.
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est délivré à toit même par toi même) de CA et le mettre dans le magain des certificats de confiance de l'entreprise. Dans ce cas c'est simple et gratuit.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign , Thawte, payants cette fois. Tu places également ce cert dans le magasin de confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert, il lui fera plus confiance qu'à un cert auto-signé.
Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter un.
Maintenant, quand tu parles de vous authentifier "entre vous", il faut être plus précis. Je suppose que tu veux générer des cert signés par le cert de CA. Sur Windows, un composant fait cela sans pb.
Oriane
"utilisateur1" a écrit dans le message de news:c6b0or$l77$ | Bonjour, | | Un certificat généré par openssl est-il reconnu "partout"? | | Dans une entreprise, nous souhaiterions disposer de certificats | nous permettant de nous authentifier "entre nous", et vis à vis | de tiers comme étant bien des messages provenant de notre | entreprise. | | Pouvons-nous générer un certificat de CA au nom de l'entreprise? | Sera-t-il reconnu? Comme obtenir cette reconnaissance? | | Les certificats signés de cette CA seront-ils reconnus? | | Merci d'avance |
utilisateur1
"Oriane" a écrit dans le message de news:c6j02c$53o$
[snip]
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est délivré à toit même par toi même) de CA et le mettre dans le magain des certificats de confiance de l'entreprise. Dans ce cas c'est simple et gratuit.
Oui, c'est bien cela que nous voulons faire.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign , Thawte, payants cette fois. Tu places également ce cert dans le magasin de confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert,
il lui fera plus confiance qu'à un cert auto-signé.
Quand on voit comment on peut obtenir des certificats de la part de ces organismes, je reste pour ma part dans une grande réserve.
Par exemple, un organisme français qui délivre des certificats, s'il possède bien la structure et l'organisation pour vérifier que le demandeur est bien ce qu'il annonce (habilité à engager un organisme), n'a pas mis en place les procedures pour vérifier si la personne n'est plus habilitée! Donc prudence.
Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter
un.
C'est bien ce qu'on se disait ...
Je suppose que tu veux générer des cert signés par le cert de CA.
Oui, en utilisant OpenSSL: 1- je crée un certificat de CA au nom de "mon entreprise", certificat auto-signé, tout comme ceux que tu cites; 2- je crée des certificats pour les employés qui en ont besoin, certificats que je signe avec le certificat de CA "mon entreprise".
Au delà de la notion de confiance, seront-ils reconnus conformes?
En ce qui concerne la notion de confiance, celui qui voit un certificat comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas d'autres, car finalement, la crypto sa finalité passe bien par la gestion des certificats? Non?
A+
"Oriane" <oriane@guermantes.com> a écrit dans le message de
news:c6j02c$53o$1@yucatan.franconews.org...
[snip]
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est
délivré à toit même par toi même) de CA et le mettre dans le magain des
certificats de confiance de l'entreprise. Dans ce cas c'est simple et
gratuit.
Oui, c'est bien cela que nous voulons faire.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign ,
Thawte, payants cette fois. Tu places également ce cert dans le magasin de
confiance de l'entreprise. L'intérêt est que si un internaute voit ce
cert,
il lui fera plus confiance qu'à un cert auto-signé.
Quand on voit comment on peut obtenir des certificats
de la part de ces organismes, je reste pour ma part dans
une grande réserve.
Par exemple, un organisme français qui délivre des certificats,
s'il possède bien la structure et l'organisation pour vérifier que
le demandeur est bien ce qu'il annonce (habilité à engager un
organisme), n'a pas mis en place les procedures pour vérifier si
la personne n'est plus habilitée! Donc prudence.
Si votre cert a un usage interne uniquement, pas la peine d'aller en
acheter
un.
C'est bien ce qu'on se disait ...
Je suppose que tu veux générer des cert signés par le cert de
CA.
Oui, en utilisant OpenSSL:
1- je crée un certificat de CA au nom de "mon entreprise",
certificat auto-signé, tout comme ceux que tu cites;
2- je crée des certificats pour les employés qui en ont besoin,
certificats que je signe avec le certificat de CA "mon entreprise".
Au delà de la notion de confiance, seront-ils reconnus conformes?
En ce qui concerne la notion de confiance, celui qui voit un certificat
comme ça, doit pouvoir vérifier: nous proposions de mettre un nom
et un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas
d'autres, car finalement, la crypto sa finalité passe bien par la gestion
des certificats? Non?
"Oriane" a écrit dans le message de news:c6j02c$53o$
[snip]
Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est délivré à toit même par toi même) de CA et le mettre dans le magain des certificats de confiance de l'entreprise. Dans ce cas c'est simple et gratuit.
Oui, c'est bien cela que nous voulons faire.
Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign , Thawte, payants cette fois. Tu places également ce cert dans le magasin de confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert,
il lui fera plus confiance qu'à un cert auto-signé.
Quand on voit comment on peut obtenir des certificats de la part de ces organismes, je reste pour ma part dans une grande réserve.
Par exemple, un organisme français qui délivre des certificats, s'il possède bien la structure et l'organisation pour vérifier que le demandeur est bien ce qu'il annonce (habilité à engager un organisme), n'a pas mis en place les procedures pour vérifier si la personne n'est plus habilitée! Donc prudence.
Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter
un.
C'est bien ce qu'on se disait ...
Je suppose que tu veux générer des cert signés par le cert de CA.
Oui, en utilisant OpenSSL: 1- je crée un certificat de CA au nom de "mon entreprise", certificat auto-signé, tout comme ceux que tu cites; 2- je crée des certificats pour les employés qui en ont besoin, certificats que je signe avec le certificat de CA "mon entreprise".
Au delà de la notion de confiance, seront-ils reconnus conformes?
En ce qui concerne la notion de confiance, celui qui voit un certificat comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas d'autres, car finalement, la crypto sa finalité passe bien par la gestion des certificats? Non?
A+
Oriane
"utilisateur1" a écrit dans le message de news:c6j37c$ret$ | "Oriane" a écrit dans le message de | news:c6j02c$53o$ | > | > [snip] | > Je suppose que tu veux générer des cert signés par le cert de | > CA. | | Oui, en utilisant OpenSSL: | 1- je crée un certificat de CA au nom de "mon entreprise", | certificat auto-signé, tout comme ceux que tu cites; | 2- je crée des certificats pour les employés qui en ont besoin, | certificats que je signe avec le certificat de CA "mon entreprise". | | Au delà de la notion de confiance, seront-ils reconnus conformes? Je ne sais pas ce que tu entends par conforme... | | En ce qui concerne la notion de confiance, celui qui voit un certificat | comme ça, doit pouvoir vérifier: nous proposions de mettre un nom | et un n° de tél pour que quiconque puisse appeler pour vérifier. | | Qu'en penses-tu? Si on génère un certificat d"email" sous Windows (mais comme ils sont standard ca doit être pareil ailleurs), il faut de toute façon remplir les champ nom, numéro de téléphone, service, société, email...
Ceci dit, l'authentification est d'abord conçue pour être gérée par les softs: si tu recois un email signé par un de tes collègues sur Netscape, celui-ci ira vérifier le chemin de certification, retrouvera le certificat racine (donc celui du CA) dans le magasin de confiance et te validera tout seul comme un grand l'email.
| Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas | d'autres, car finalement, la crypto sa finalité passe bien par la gestion | des certificats? Non? Oui et non. Comme tj si l'on veut des réponses les + complètes possible, il vaut mieux poster sur des forums angais. Sur le serveur news.microsoft.com: microsoft.public.platformsdk.security.
| | A+ De même.
"utilisateur1" <utilisateur1@domaine.invalid> a écrit dans le message de
news:c6j37c$ret$1@ws41.cines.fr...
| "Oriane" <oriane@guermantes.com> a écrit dans le message de
| news:c6j02c$53o$1@yucatan.franconews.org...
| >
| > [snip]
| > Je suppose que tu veux générer des cert signés par le cert de
| > CA.
|
| Oui, en utilisant OpenSSL:
| 1- je crée un certificat de CA au nom de "mon entreprise",
| certificat auto-signé, tout comme ceux que tu cites;
| 2- je crée des certificats pour les employés qui en ont besoin,
| certificats que je signe avec le certificat de CA "mon entreprise".
|
| Au delà de la notion de confiance, seront-ils reconnus conformes?
Je ne sais pas ce que tu entends par conforme...
|
| En ce qui concerne la notion de confiance, celui qui voit un certificat
| comme ça, doit pouvoir vérifier: nous proposions de mettre un nom
| et un n° de tél pour que quiconque puisse appeler pour vérifier.
|
| Qu'en penses-tu?
Si on génère un certificat d"email" sous Windows (mais comme ils sont
standard ca doit être pareil ailleurs), il faut de toute façon remplir les
champ nom, numéro de téléphone, service, société, email...
Ceci dit, l'authentification est d'abord conçue pour être gérée par les
softs: si tu recois un email signé par un de tes collègues sur Netscape,
celui-ci ira vérifier le chemin de certification, retrouvera le certificat
racine (donc celui du CA) dans le magasin de confiance et te validera tout
seul comme un grand l'email.
| Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas
| d'autres, car finalement, la crypto sa finalité passe bien par la gestion
| des certificats? Non?
Oui et non.
Comme tj si l'on veut des réponses les + complètes possible, il vaut mieux
poster sur des forums angais.
Sur le serveur news.microsoft.com: microsoft.public.platformsdk.security.
"utilisateur1" a écrit dans le message de news:c6j37c$ret$ | "Oriane" a écrit dans le message de | news:c6j02c$53o$ | > | > [snip] | > Je suppose que tu veux générer des cert signés par le cert de | > CA. | | Oui, en utilisant OpenSSL: | 1- je crée un certificat de CA au nom de "mon entreprise", | certificat auto-signé, tout comme ceux que tu cites; | 2- je crée des certificats pour les employés qui en ont besoin, | certificats que je signe avec le certificat de CA "mon entreprise". | | Au delà de la notion de confiance, seront-ils reconnus conformes? Je ne sais pas ce que tu entends par conforme... | | En ce qui concerne la notion de confiance, celui qui voit un certificat | comme ça, doit pouvoir vérifier: nous proposions de mettre un nom | et un n° de tél pour que quiconque puisse appeler pour vérifier. | | Qu'en penses-tu? Si on génère un certificat d"email" sous Windows (mais comme ils sont standard ca doit être pareil ailleurs), il faut de toute façon remplir les champ nom, numéro de téléphone, service, société, email...
Ceci dit, l'authentification est d'abord conçue pour être gérée par les softs: si tu recois un email signé par un de tes collègues sur Netscape, celui-ci ira vérifier le chemin de certification, retrouvera le certificat racine (donc celui du CA) dans le magasin de confiance et te validera tout seul comme un grand l'email.
| Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas | d'autres, car finalement, la crypto sa finalité passe bien par la gestion | des certificats? Non? Oui et non. Comme tj si l'on veut des réponses les + complètes possible, il vaut mieux poster sur des forums angais. Sur le serveur news.microsoft.com: microsoft.public.platformsdk.security.
| | A+ De même.
Nicob
On Mon, 26 Apr 2004 15:35:22 +0200, utilisateur1 wrote:
Oui, en utilisant OpenSSL: 1- je crée un certificat de CA au nom de "mon entreprise", certificat auto-signé, tout comme ceux que tu cites;
3 lignes de script ...
2- je crée des certificats pour les employés qui en ont besoin, certificats que je signe avec le certificat de CA "mon entreprise".
3 lignes de script ...
Une fois que vous aurez votre propre CA, vous pourrez aussi (par exemple) générer des certificats pour vos éventuels serveurs IIS : http://eal.us/blog/_archives/2003/6/2/25109.html
Au delà de la notion de confiance, seront-ils reconnus conformes?
Oui. De plus, si la CA est connue du navigateur/MUA, l'utilisation de ces certficats "maison" sera tout à fait transparente.
En ce qui concerne la notion de confiance, celui qui voit un certificat comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Très bien. De toute façon, les postes dont vous avez le contrôle connaitront la CA (si vous la rajouter au magasin de certificats) et ne poseront même pas de question ...
Nicob
On Mon, 26 Apr 2004 15:35:22 +0200, utilisateur1 wrote:
Oui, en utilisant OpenSSL:
1- je crée un certificat de CA au nom de "mon entreprise",
certificat auto-signé, tout comme ceux que tu cites;
3 lignes de script ...
2- je crée des certificats pour les employés qui en ont besoin,
certificats que je signe avec le certificat de CA "mon entreprise".
3 lignes de script ...
Une fois que vous aurez votre propre CA, vous pourrez aussi (par
exemple) générer des certificats pour vos éventuels serveurs IIS :
http://eal.us/blog/_archives/2003/6/2/25109.html
Au delà de la notion de confiance, seront-ils reconnus conformes?
Oui. De plus, si la CA est connue du navigateur/MUA, l'utilisation de ces
certficats "maison" sera tout à fait transparente.
En ce qui concerne la notion de confiance, celui qui voit un certificat
comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et
un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Très bien. De toute façon, les postes dont vous avez le contrôle
connaitront la CA (si vous la rajouter au magasin de certificats) et ne
poseront même pas de question ...
On Mon, 26 Apr 2004 15:35:22 +0200, utilisateur1 wrote:
Oui, en utilisant OpenSSL: 1- je crée un certificat de CA au nom de "mon entreprise", certificat auto-signé, tout comme ceux que tu cites;
3 lignes de script ...
2- je crée des certificats pour les employés qui en ont besoin, certificats que je signe avec le certificat de CA "mon entreprise".
3 lignes de script ...
Une fois que vous aurez votre propre CA, vous pourrez aussi (par exemple) générer des certificats pour vos éventuels serveurs IIS : http://eal.us/blog/_archives/2003/6/2/25109.html
Au delà de la notion de confiance, seront-ils reconnus conformes?
Oui. De plus, si la CA est connue du navigateur/MUA, l'utilisation de ces certficats "maison" sera tout à fait transparente.
En ce qui concerne la notion de confiance, celui qui voit un certificat comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et un n° de tél pour que quiconque puisse appeler pour vérifier.
Qu'en penses-tu?
Très bien. De toute façon, les postes dont vous avez le contrôle connaitront la CA (si vous la rajouter au magasin de certificats) et ne poseront même pas de question ...
Nicob
Eric Pommateau
On Fri, 23 Apr 2004 14:04:41 +0200, utilisateur1 wrote:
Bonjour,
Bonjour,
Un certificat généré par openssl est-il reconnu "partout"?
Non, il est "reconnu" que par les logiciels qui reconnaisse le certificat qui a signé votre certificat.
Dans une entreprise, nous souhaiterions disposer de certificats nous permettant de nous authentifier "entre nous", et vis à vis de tiers comme étant bien des messages provenant de notre entreprise.
Le "entre-nous" est simple : vous pouvez utiliser S/MIME dans la plupart des logiciels de mails. Le "vis à vis de tiers" est plus complexe.
Pouvons-nous générer un certificat de CA au nom de l'entreprise?
oui.
Sera-t-il reconnu? Comme obtenir cette reconnaissance?
Il faut le demander aux personnes qui développent des navigateurs ...
Les certificats signés de cette CA seront-ils reconnus?
Oui, si vos utilisateurs installe ce CA dans leur navigateurs. Non sinon.
Merci d'avance
-- Eric
On Fri, 23 Apr 2004 14:04:41 +0200, utilisateur1 wrote:
Bonjour,
Bonjour,
Un certificat généré par openssl est-il reconnu "partout"?
Non, il est "reconnu" que par les logiciels qui reconnaisse le
certificat qui a signé votre certificat.
Dans une entreprise, nous souhaiterions disposer de certificats
nous permettant de nous authentifier "entre nous", et vis à vis
de tiers comme étant bien des messages provenant de notre
entreprise.
Le "entre-nous" est simple : vous pouvez utiliser S/MIME
dans la plupart des logiciels de mails. Le "vis à vis de tiers"
est plus complexe.
Pouvons-nous générer un certificat de CA au nom de l'entreprise?
oui.
Sera-t-il reconnu? Comme obtenir cette reconnaissance?
Il faut le demander aux personnes qui développent des navigateurs ...
Les certificats signés de cette CA seront-ils reconnus?
Oui, si vos utilisateurs installe ce CA dans leur navigateurs.
Non sinon.
On Fri, 23 Apr 2004 14:04:41 +0200, utilisateur1 wrote:
Bonjour,
Bonjour,
Un certificat généré par openssl est-il reconnu "partout"?
Non, il est "reconnu" que par les logiciels qui reconnaisse le certificat qui a signé votre certificat.
Dans une entreprise, nous souhaiterions disposer de certificats nous permettant de nous authentifier "entre nous", et vis à vis de tiers comme étant bien des messages provenant de notre entreprise.
Le "entre-nous" est simple : vous pouvez utiliser S/MIME dans la plupart des logiciels de mails. Le "vis à vis de tiers" est plus complexe.
Pouvons-nous générer un certificat de CA au nom de l'entreprise?
oui.
Sera-t-il reconnu? Comme obtenir cette reconnaissance?
Il faut le demander aux personnes qui développent des navigateurs ...
Les certificats signés de cette CA seront-ils reconnus?
Oui, si vos utilisateurs installe ce CA dans leur navigateurs. Non sinon.
