Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Sécurité Sécurité Cryptologie [Openssl] lui faire dire UID dans la partie subject

[Openssl] lui faire dire UID dans la partie subject

3 réponses
Avatar
Cram TeXeD
Bonjour les gens.
Désolé de déranger, c'est pour une broutille.
-----------------------
La broutille :
-----------------------
1) openssl
2) avoir un 'subject' style
dc=FR/dc=SOCIETE/dc=DIVISION/cn=USERS/uid=nom.prenom.societe.fr

La forme n'est pas conventionnelle, je l'accorde, mais pour l'instant
je ne peux pas jouer dessus.

Ce que j'ai fait
Copie du fichier de conf "openssl.cnf" en "opensslSOCIETE.cnf"

Dans "openssSOCIETE.cnf"

oid_file = /usr/share/ssl/oidSOCIETE.cnf où est écrit
0.9.2342.19200300.100.1.1 UID userId


dans [policy_anything]
----------------------------------------
[ policy_anything ]
domainComponent = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
uid = supplied
commonName = optional
emailAddress = optional

dans [ req_distinguished_name ]
----------------------------------------------------
[ req_distinguished_name ]
domainComponent = Dc racine
domainComponent_default = FR
domainComponent_min = 2
domainComponent_max = 2

1.domainComponent = DC SOCIETE
1.domainComponent_default = SOC
1.domainComponent_min = 7
1.domainComponent_max = 7

2.domainComponent = Dc Service
2.domainComponent_default = DSI
2.domainComponent_min = 3
2.domainComponent_max = 3

commonName = cn USERS
commonName_default = Users
commonName_min = 5
commonName_max = 5

uid = user ID
uid_default = TEST
uid_max = 128


[ req_attributes ]
emailAddress = Email Address
emailAddress_max = 40
/.../
------------------------------------------------------------------------

A la création de requête de certif, tout va bien, il me demande bien
le UID.
La signature du certificat client est faite avec l'option -preserveDN:

# openssl ca -out $CERTIF/mdeCERT.pem -config $SSLCONF -preserveDN
-infiles $REQ/mde.pem

Mais quand je fais une visualisation, je me retrouve avec :
DC=FR, DC=SOCIETE, DC=DSI,
CN=Users/0.9.2342.19200300.100.1.1=nom.prenom.societe.fr


Argggggggg !
Il peut pas dire UID comme tout le monde non ?

Auriez vous une idée avant que je commence à modifier object.h ?

Merci

8:0) Cram TeXeD
--
"La réalité, c'est ce qui refuse de disparaître
quand on a cessé d'y croire." (Philip K.Dick)
<http://texed75.free.fr>
Signaler un problème avec ce contenu

3 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Jean-Marc Desperrier
Cram TeXeD wrote:
2) avoir un 'subject' style
dc=FR/dc=SOCIETE/dc=DIVISION/cn=USERS/uid=nom.prenom.societe.fr


Le retour de uid ...

La forme n'est pas conventionnelle, je l'accorde, mais pour l'instant
je ne peux pas jouer dessus.


Ai conscience que uid potentiellement désigne trois choses :
- User ID depuis la RFC 1274 (qui décrit un schéma COSINE au départ une
expérience d'annuaire X500)
- Unique ID depuis la RFC 1274 (qui décrit un schéma COSINE au départ
une expérience d'annuaire X500)
- Unique ID dans x500

Celui dont tu parle est le premier, et à priori tu t'es retrouvé collé
avec ce truc à cause de son incorporation par la suite dans un certain
nombre de document LDAP.

oid_file = /usr/share/ssl/oidSOCIETE.cnf où est écrit
0.9.2342.19200300.100.1.1 UID userId

Mais quand je fais une visualisation, je me retrouve avec :
DC=FR, DC=SOCIETE, DC=DSI,
CN=Users/0.9.2342.19200300.100.1.1=nom.prenom.societe.fr

Auriez vous une idée avant que je commence à modifier object.h ?


Tu dois utiliser une vieille version de Openssl, une vraiment vieille.

Par erreur, openssl mappait le chaîne uid sur le unique Id de X500.

Dans le source des versions récente, 0.9.7b, je viens même de vérifier
le source du snapshot, mappent 0.9.2342.19200300.100.1.1 sur UID en
majuscule, exactement comme tu l'as fait à la main ...

Avatar
Cram TeXeD
aux environs de Mon, 08 Sep 2003 20:39:17 +0200, Jean-Marc Desperrier
frappa :

/.../
Le retour de uid ...


Serait-ce un marronier de plus ?

/.../
Tu dois utiliser une vieille version de Openssl, une vraiment vieille.


openssl 0.9.6b

Par erreur, openssl mappait le chaîne uid sur le unique Id de X500.

Dans le source des versions récente, 0.9.7b, je viens même de vérifier
le source du snapshot, mappent 0.9.2342.19200300.100.1.1 sur UID en
majuscule, exactement comme tu l'as fait à la main ...


Je te remercie.
Je vais faire de ce pas une MàJ.

8:0) Cram TeXeD
--
"La réalité, c'est ce qui refuse de disparaître
quand on a cessé d'y croire." (Philip K.Dick)
<http://texed75.free.fr>

Avatar
Jean-Marc Desperrier
Cram TeXeD wrote:
aux environs de Mon, 08 Sep 2003 20:39:17 +0200, Jean-Marc Desperrier
frappa :
/.../
Le retour de uid ...


Serait-ce un marronier de plus ?


Uniquement pour moi. C'est moi qui ait signalé à l'équipe d'Openssl il y
environ 2 ans qu'il y avait un problème là-dessus.

/.../

Tu dois utiliser une vieille version de Openssl, une vraiment vieille.


openssl 0.9.6b


Qui a plusieurs vulnérabilités identifiées, ce qui n'est pas très
sérieux pour un produit de sécurité (mais elles ne concernent pas
vraiment l'utilisation en ligne de commande).

Si tu veux rester sur la série 0.9.6 pour des questions de
compatibilité, il y a des versions beaucoup plus récentes, et je crois
qu'elles intègrent la modif pour UID.