Un certificat généré par openssl est-il valide "partout"?

Le
utilisateur1
Bonjour,

Un certificat généré par openssl est-il reconnu "partout"?

Dans une entreprise, nous souhaiterions disposer de certificats
nous permettant de nous authentifier "entre nous", et vis à vis
de tiers comme étant bien des messages provenant de notre
entreprise.

Pouvons-nous générer un certificat de CA au nom de l'entreprise?
Sera-t-il reconnu? Comme obtenir cette reconnaissance?

Les certificats signés de cette CA seront-ils reconnus?

Merci d'avance
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
utilisateur1
Le #446545
Bonjour,

Je suis déçu de ne pas avoir de réponses :-(

Ma question est-elle idiote, sans fondement, inutile, imprécise?

Pourtant, quand on voit les textes de loi qui régissent la
distribution de certificats (notamment pour les signatures
électroniques), et la manière dont ils sont effectivement traités
en France, il y a de quoi se poser des questions.

Bon, je reste en écoute ...

A+
Oriane
Le #446544
Puisque tu n'as pas de réponse je me lance, mais je dois te dire dès l'abord
que je connais pas OpenSSL.

Je connais par contre la PKI de Windows, et je pense que les principes sont
les mêmes.

Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est
délivré à toit même par toi même) de CA et le mettre dans le magain des
certificats de confiance de l'entreprise. Dans ce cas c'est simple et
gratuit.

Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign ,
Thawte, payants cette fois. Tu places également ce cert dans le magasin de
confiance de l'entreprise. L'intérêt est que si un internaute voit ce cert,
il lui fera plus confiance qu'à un cert auto-signé.

Si votre cert a un usage interne uniquement, pas la peine d'aller en acheter
un.

Maintenant, quand tu parles de vous authentifier "entre vous", il faut être
plus précis. Je suppose que tu veux générer des cert signés par le cert de
CA. Sur Windows, un composant fait cela sans pb.

Oriane

"utilisateur1" news:c6b0or$l77$
| Bonjour,
|
| Un certificat généré par openssl est-il reconnu "partout"?
|
| Dans une entreprise, nous souhaiterions disposer de certificats
| nous permettant de nous authentifier "entre nous", et vis à vis
| de tiers comme étant bien des messages provenant de notre
| entreprise.
|
| Pouvons-nous générer un certificat de CA au nom de l'entreprise?
| Sera-t-il reconnu? Comme obtenir cette reconnaissance?
|
| Les certificats signés de cette CA seront-ils reconnus?
|
| Merci d'avance
|
utilisateur1
Le #446543
"Oriane" news:c6j02c$53o$

[snip]

Tu peux générer tout seul avec OpenSSL un certificat auto-signé (c'est
délivré à toit même par toi même) de CA et le mettre dans le magain des
certificats de confiance de l'entreprise. Dans ce cas c'est simple et
gratuit.


Oui, c'est bien cela que nous voulons faire.

Tu peux aussi acquérir un certificat auprès d'organisme comme Verisign ,
Thawte, payants cette fois. Tu places également ce cert dans le magasin de
confiance de l'entreprise. L'intérêt est que si un internaute voit ce
cert,

il lui fera plus confiance qu'à un cert auto-signé.


Quand on voit comment on peut obtenir des certificats
de la part de ces organismes, je reste pour ma part dans
une grande réserve.

Par exemple, un organisme français qui délivre des certificats,
s'il possède bien la structure et l'organisation pour vérifier que
le demandeur est bien ce qu'il annonce (habilité à engager un
organisme), n'a pas mis en place les procedures pour vérifier si
la personne n'est plus habilitée! Donc prudence.

Si votre cert a un usage interne uniquement, pas la peine d'aller en
acheter

un.


C'est bien ce qu'on se disait ...

Je suppose que tu veux générer des cert signés par le cert de
CA.


Oui, en utilisant OpenSSL:
1- je crée un certificat de CA au nom de "mon entreprise",
certificat auto-signé, tout comme ceux que tu cites;
2- je crée des certificats pour les employés qui en ont besoin,
certificats que je signe avec le certificat de CA "mon entreprise".

Au delà de la notion de confiance, seront-ils reconnus conformes?

En ce qui concerne la notion de confiance, celui qui voit un certificat
comme ça, doit pouvoir vérifier: nous proposions de mettre un nom
et un n° de tél pour que quiconque puisse appeler pour vérifier.

Qu'en penses-tu?

Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas
d'autres, car finalement, la crypto sa finalité passe bien par la gestion
des certificats? Non?

A+

Oriane
Le #446542
"utilisateur1" news:c6j37c$ret$
| "Oriane" | news:c6j02c$53o$
| >
| > [snip]
| > Je suppose que tu veux générer des cert signés par le cert de
| > CA.
|
| Oui, en utilisant OpenSSL:
| 1- je crée un certificat de CA au nom de "mon entreprise",
| certificat auto-signé, tout comme ceux que tu cites;
| 2- je crée des certificats pour les employés qui en ont besoin,
| certificats que je signe avec le certificat de CA "mon entreprise".
|
| Au delà de la notion de confiance, seront-ils reconnus conformes?
Je ne sais pas ce que tu entends par conforme...
|
| En ce qui concerne la notion de confiance, celui qui voit un certificat
| comme ça, doit pouvoir vérifier: nous proposions de mettre un nom
| et un n° de tél pour que quiconque puisse appeler pour vérifier.
|
| Qu'en penses-tu?
Si on génère un certificat d"email" sous Windows (mais comme ils sont
standard ca doit être pareil ailleurs), il faut de toute façon remplir les
champ nom, numéro de téléphone, service, société, email...

Ceci dit, l'authentification est d'abord conçue pour être gérée par les
softs: si tu recois un email signé par un de tes collègues sur Netscape,
celui-ci ira vérifier le chemin de certification, retrouvera le certificat
racine (donc celui du CA) dans le magasin de confiance et te validera tout
seul comme un grand l'email.

| Merci de cette première réponse ... C'est dommage qu'il n'y en ait pas
| d'autres, car finalement, la crypto sa finalité passe bien par la gestion
| des certificats? Non?
Oui et non.
Comme tj si l'on veut des réponses les + complètes possible, il vaut mieux
poster sur des forums angais.
Sur le serveur news.microsoft.com: microsoft.public.platformsdk.security.

|
| A+
De même.
Nicob
Le #446541
On Mon, 26 Apr 2004 15:35:22 +0200, utilisateur1 wrote:

Oui, en utilisant OpenSSL:
1- je crée un certificat de CA au nom de "mon entreprise",
certificat auto-signé, tout comme ceux que tu cites;


3 lignes de script ...

2- je crée des certificats pour les employés qui en ont besoin,
certificats que je signe avec le certificat de CA "mon entreprise".


3 lignes de script ...

Une fois que vous aurez votre propre CA, vous pourrez aussi (par
exemple) générer des certificats pour vos éventuels serveurs IIS :
http://eal.us/blog/_archives/2003/6/2/25109.html

Au delà de la notion de confiance, seront-ils reconnus conformes?


Oui. De plus, si la CA est connue du navigateur/MUA, l'utilisation de ces
certficats "maison" sera tout à fait transparente.

En ce qui concerne la notion de confiance, celui qui voit un certificat
comme ça, doit pouvoir vérifier: nous proposions de mettre un nom et
un n° de tél pour que quiconque puisse appeler pour vérifier.

Qu'en penses-tu?


Très bien. De toute façon, les postes dont vous avez le contrôle
connaitront la CA (si vous la rajouter au magasin de certificats) et ne
poseront même pas de question ...


Nicob

Eric Pommateau
Le #446328
On Fri, 23 Apr 2004 14:04:41 +0200, utilisateur1 wrote:

Bonjour,


Bonjour,


Un certificat généré par openssl est-il reconnu "partout"?


Non, il est "reconnu" que par les logiciels qui reconnaisse le
certificat qui a signé votre certificat.


Dans une entreprise, nous souhaiterions disposer de certificats
nous permettant de nous authentifier "entre nous", et vis à vis
de tiers comme étant bien des messages provenant de notre
entreprise.


Le "entre-nous" est simple : vous pouvez utiliser S/MIME
dans la plupart des logiciels de mails. Le "vis à vis de tiers"
est plus complexe.


Pouvons-nous générer un certificat de CA au nom de l'entreprise?


oui.

Sera-t-il reconnu? Comme obtenir cette reconnaissance?


Il faut le demander aux personnes qui développent des navigateurs ...


Les certificats signés de cette CA seront-ils reconnus?


Oui, si vos utilisateurs installe ce CA dans leur navigateurs.
Non sinon.

Merci d'avance


--
Eric

Publicité
Poster une réponse
Anonyme