J'ai effectué une demande de certificat à un organisme. J'ai donc généré
un bi-clé, et j'ai envoyé la clé publique à cet organisme, pour
certification.
D'après ce que j'ai compris, le fichier que j'ai reçu est chiffré avec
ma clé publique.
Je dois donc le déchiffrer avec ma clé privée.
La doc d'openssl indique la syntaxe suivante pour déchiffrer :
mail.msg c'est ma pièce jointe : OK
key.pem c'est ma clé privée : OK
mycert.pem ça devrait contenir "the recipients certificate" ... N'est-ce
pas mon certificat lui-même ?
Moi je veux bien, mais comme je ne l'ai pas encore extrait du message,
je fais comment ?
Ou alors, il y a quelque chose que je n'ai pas bien compris, ça ne
m'étonnerait pas de moi :-)
Merci d'avance.
--
"S'il n'y a pas de solution,
c'est qu'il n'y a pas de problème"
Proverbe Shadok
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Marc Desperrier
dominique becaert wrote:
J'ai effectué une demande de certificat à un organisme. J'ai donc généré un bi-clé, et j'ai envoyé la clé publique à cet organisme, pour certification.
Tu as donc envoyé un PKCS10 qui contient les info sur ta clé publique et est signé avec cette même clé publique.
D'après ce que j'ai compris, le fichier que j'ai reçu est chiffré avec ma clé publique. Je dois donc le déchiffrer avec ma clé privée.
???
Moi je veux bien, mais comme je ne l'ai pas encore extrait du message, je fais comment ? Ou alors, il y a quelque chose que je n'ai pas bien compris, ça ne m'étonnerait pas de moi :-)
Normalement la seule chose que tu reçois, c'est ton certificat, en général directement utilisable au format x509.
Parfois, il peut être à l'intérieur d'une structure PKCS7.
Dans le premier cas, si tu as certificat en base64 , il faut que les lignes "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----" soit présente devant et derrière pour que openssl l'identifie, et la commande "openssl x509 -in fichier_certificat -text" devrait t'afficher son contenu.
Sinon tu peux vérifier si c'est du PKCS7, en ajoutant BEGIN/END PKCS7 à la place, et en utilisant "openssl pkcs7 -print_certs" pour extraire les certifs à l'intérieur.
dominique becaert wrote:
J'ai effectué une demande de certificat à un organisme. J'ai donc généré
un bi-clé, et j'ai envoyé la clé publique à cet organisme, pour
certification.
Tu as donc envoyé un PKCS10 qui contient les info sur ta clé publique et
est signé avec cette même clé publique.
D'après ce que j'ai compris, le fichier que j'ai reçu est chiffré avec
ma clé publique.
Je dois donc le déchiffrer avec ma clé privée.
???
Moi je veux bien, mais comme je ne l'ai pas encore extrait du message,
je fais comment ?
Ou alors, il y a quelque chose que je n'ai pas bien compris, ça ne
m'étonnerait pas de moi :-)
Normalement la seule chose que tu reçois, c'est ton certificat, en
général directement utilisable au format x509.
Parfois, il peut être à l'intérieur d'une structure PKCS7.
Dans le premier cas, si tu as certificat en base64 , il faut que les
lignes "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----" soit
présente devant et derrière pour que openssl l'identifie, et la commande
"openssl x509 -in fichier_certificat -text" devrait t'afficher son contenu.
Sinon tu peux vérifier si c'est du PKCS7, en ajoutant BEGIN/END PKCS7 à
la place, et en utilisant "openssl pkcs7 -print_certs" pour extraire les
certifs à l'intérieur.
J'ai effectué une demande de certificat à un organisme. J'ai donc généré un bi-clé, et j'ai envoyé la clé publique à cet organisme, pour certification.
Tu as donc envoyé un PKCS10 qui contient les info sur ta clé publique et est signé avec cette même clé publique.
D'après ce que j'ai compris, le fichier que j'ai reçu est chiffré avec ma clé publique. Je dois donc le déchiffrer avec ma clé privée.
???
Moi je veux bien, mais comme je ne l'ai pas encore extrait du message, je fais comment ? Ou alors, il y a quelque chose que je n'ai pas bien compris, ça ne m'étonnerait pas de moi :-)
Normalement la seule chose que tu reçois, c'est ton certificat, en général directement utilisable au format x509.
Parfois, il peut être à l'intérieur d'une structure PKCS7.
Dans le premier cas, si tu as certificat en base64 , il faut que les lignes "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----" soit présente devant et derrière pour que openssl l'identifie, et la commande "openssl x509 -in fichier_certificat -text" devrait t'afficher son contenu.
Sinon tu peux vérifier si c'est du PKCS7, en ajoutant BEGIN/END PKCS7 à la place, et en utilisant "openssl pkcs7 -print_certs" pour extraire les certifs à l'intérieur.
dominique becaert
Normalement la seule chose que tu reçois, c'est ton certificat, en général directement utilisable au format x509.
Oh, que j'ai honte ... En fait, je générais un bi-clé, et je demandais la certification de sa clé publique. Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé serveur), et c'est avec la clé publique du serveur qu'était chiffrée la réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée serveur, et pour le paramètre -recip c'était également le certificat serveur qu'il fallait.
Promis, la prochaine fois je réfléchis :-) -- "S'il n'y a pas de solution, c'est qu'il n'y a pas de problème" Proverbe Shadok
Normalement la seule chose que tu reçois, c'est ton certificat, en
général directement utilisable au format x509.
Oh, que j'ai honte ...
En fait, je générais un bi-clé, et je demandais la certification de sa
clé publique.
Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée
correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé
serveur), et c'est avec la clé publique du serveur qu'était chiffrée la
réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée
serveur, et pour le paramètre -recip c'était également le certificat
serveur qu'il fallait.
Promis, la prochaine fois je réfléchis :-)
--
"S'il n'y a pas de solution,
c'est qu'il n'y a pas de problème"
Proverbe Shadok
Normalement la seule chose que tu reçois, c'est ton certificat, en général directement utilisable au format x509.
Oh, que j'ai honte ... En fait, je générais un bi-clé, et je demandais la certification de sa clé publique. Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé serveur), et c'est avec la clé publique du serveur qu'était chiffrée la réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée serveur, et pour le paramètre -recip c'était également le certificat serveur qu'il fallait.
Promis, la prochaine fois je réfléchis :-) -- "S'il n'y a pas de solution, c'est qu'il n'y a pas de problème" Proverbe Shadok
Jean-Marc Desperrier
dominique becaert wrote:
En fait, je générais un bi-clé, et je demandais la certification de sa clé publique. Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé serveur), et c'est avec la clé publique du serveur qu'était chiffrée la réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée serveur, et pour le paramètre -recip c'était également le certificat serveur qu'il fallait.
C'est quoi ce truc !!!
Le certificat étant un objet publique il n'y a aucun intérêt de le chiffrer.
Sauf si tu es un RA, et que la signature de tes messages permet à la CA de t'identifier en tant que RA. Dans ce cas là, le protocole permet optionnellement de chiffrer les réponses de la CA vers ton certificat de RA pour garder la confidentialité des échanges RA/CA. L'intérêt est d'ailleurs de faire le chiffrement dans les deux sens, aussi pour les données que tu envoies.
C'est donc en fait un échange CMC/CRMF que tu implémente ? Mais dans ta manière de présenter le problème, tu n'orientais pas du tout vers cette interprétation là.
dominique becaert wrote:
En fait, je générais un bi-clé, et je demandais la certification de sa
clé publique.
Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée
correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé
serveur), et c'est avec la clé publique du serveur qu'était chiffrée la
réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée
serveur, et pour le paramètre -recip c'était également le certificat
serveur qu'il fallait.
C'est quoi ce truc !!!
Le certificat étant un objet publique il n'y a aucun intérêt de le chiffrer.
Sauf si tu es un RA, et que la signature de tes messages permet à la CA
de t'identifier en tant que RA.
Dans ce cas là, le protocole permet optionnellement de chiffrer les
réponses de la CA vers ton certificat de RA pour garder la
confidentialité des échanges RA/CA.
L'intérêt est d'ailleurs de faire le chiffrement dans les deux sens,
aussi pour les données que tu envoies.
C'est donc en fait un échange CMC/CRMF que tu implémente ?
Mais dans ta manière de présenter le problème, tu n'orientais pas du
tout vers cette interprétation là.
En fait, je générais un bi-clé, et je demandais la certification de sa clé publique. Et je m'obstinais à vouloir déchiffrer la réponse avec la clé privée correspondante ...
En réalité, ma machine disposait déjà d'un bi-clé (appelons-le bi-clé serveur), et c'est avec la clé publique du serveur qu'était chiffrée la réponse. Donc, j'ai pu déchiffrer cette réponse avec la clé privée serveur, et pour le paramètre -recip c'était également le certificat serveur qu'il fallait.
C'est quoi ce truc !!!
Le certificat étant un objet publique il n'y a aucun intérêt de le chiffrer.
Sauf si tu es un RA, et que la signature de tes messages permet à la CA de t'identifier en tant que RA. Dans ce cas là, le protocole permet optionnellement de chiffrer les réponses de la CA vers ton certificat de RA pour garder la confidentialité des échanges RA/CA. L'intérêt est d'ailleurs de faire le chiffrement dans les deux sens, aussi pour les données que tu envoies.
C'est donc en fait un échange CMC/CRMF que tu implémente ? Mais dans ta manière de présenter le problème, tu n'orientais pas du tout vers cette interprétation là.
