Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

SSL - chaîne de certificats

4 réponses
Avatar
JGP_NoMail
Bonjour,

Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?

Ca R -- Racine
+--> Ca RA
| +---> ca RAA
| +---> ca RAB
| +---> ca RAC
+--> Ca RB
| +---> ca RBA
| +---> ca RBB


Le client peut-il authentifier le serveur ? Si oui, comment ?

Merci pour vos réponse.

JGP

4 réponses

Avatar
Julien Vehent
On 8 avr, 19:08, JGP_NoMail wrote:
Comment se passe la vérification d'un chaîne de certificat dans le cas
ou le client dispose seulement du certificat racine du serveur (CA R)
avec, par exemple la chaîne de certification ci-dessous et un client qui
se connecte au serveur ayant le certificat (par exemple) RAA ou RBB ?

Ca R -- Racine
+--> Ca RA
| +---> ca RAA
| +---> ca RAB
| +---> ca RAC
+--> Ca RB
| +---> ca RBA
| +---> ca RBB


Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.

Le client, qui possède déjà le certificat racine, reçoit donc le
certif serveur et le certif intermédiaire. Il peut donc contrôler
l'ensemble de la chaine de certification.



Le client peut-il authentifier le serveur ? Si oui, comment ?


En verifiant que le certificat est valide est que le Common Name du
certificat correspondant au nom FQDN (dns) auquel il accède. (ca c'est
pour un navigateur web)


Merci pour vos réponse.

JGP


Avatar
JGP_NoMail
Bonjour,


[SNIP]

Tu décris une chaine d'authentification qui utilise un certificat
intermédiaire. Comme le certificat RAA est signé par le certificat
intermédiaire, il faut bien que ton client en ais la connaissance. Il
doit donc être renvoyé par le serveur en plus de son certificat.
C'est typiquement ce qui se passe quand on dispose d'un certificat
serveur verisign. Il faut configurer le serveur pour qu'il renvoie
également le certificat intermédiaire verisign.


OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?

JGP

Avatar
Julien Vehent
On 9 avr, 12:29, JGP_NoMail wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?



J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.

Avatar
JGP_NoMail
On 9 avr, 12:29, JGP_NoMail wrote:
OK, Merci pour cette réponse. Mais j'utilise stunnel, sais tu comment le
configurer qu'il fasse cela ?



J'imagine qu'en le mettant dans le répertoire de certificats et en
utilisant l'option -a tu dois pouvoir faire quelque chose... mais la
liste des users de stunnel sera certainement plus à même de t'apporter
une réponse la dessus.


C'est bon , j'ai trouvé. Il faut mettre dans le fichier de config :
"CAfile = ListeCertificats.pem" avec devant Verify=1.

Merci pour ton aide.

JGP