Discussion :

[orion99]

Bonjour, Bonsoir,

Je souhaite sécuriser les échanges sur mon site grâce à ssl, donc la présence d'un certificat. Ce certificat j'ai le choix de le faire certifier par une autorité de certification "de confiance" ou bien par ma propre autorité de certification.

Alors, pour que les visiteurs puissent accéder à mon site sans alerte de sécurité intempestive je suis pour l'utilisation d'un certificat avec une autorité de confiance d'autant que j'ai trouvé une offre à 8$ par ans ce qui n'est pas excessif.

Ceci dit, avec cette méthode... moi je n'ai qu'un certificat signé, donc un seul domaine... bon, pour la partie visiteur c'est déjà pas si mal.
Cependant, je souhaiterai pousser la sécurité jusqu'à son maximum en ce qui concerne les membres de l'équipe de responsable en les authentifiant fortement, et ce, grâce à un certificat client.

Sa par contre... si je dois passer par une autorité de certification et payer un certificat par utilisateur sa va vite coûter très cher. Sauf que sa m'emmerde pas mal de devoir dire aux utilisateurs qu'ils doivent d'abord accepter mon certificat de mon autorité de certification (d'autant que moi par exemple je viens de faire l'essais avec google chrome, malgré la présence du certificat il parvient à me dire qu'il reconnait pas le CA et IE par contre lui tout va bien...) pour pouvoir finalement utiliser l'accès authentifié.

Ce que je me dis, lorsque je regarde la hiérarchie dans les certificat, j'ai l'impression qu'un certificat peut dépendre d'un autre qui lui dépens d'une entité reconnue, enfin, ce n'est qu'une impression mais si tel est le cas je crois que sa réglerai mon problème.

Sauf que du coup comment dois-je faire ? comment dois-je générer un csr qui me permettra de pouvoir émettre des certificats reconnu, ne fusse que pour les clients pas forcément les nom de domaine...

Merci d'avance pour votre aide.
Cordialement, orion.

[orion99]

Je pense que je suis confus dans mes paroles, excusez-moi, c'est pas forcément très clair dans ma tête d'autant que je travaille actuellement sur la question.

Pour le moment, je suis en train de tester sur mon poste de dev la génération des certificats clients et ce en php.
J'ai créé un script permettant de le faire (bon c'est pas très compliqué une fois qu'on à compris, la difficulté étant de comprendre au début), et finalement j'ai peu de paramètres en entrée.
Comme paramètres je dois spécifié le certificat (.crt) et la clé privée (.key), lors de la conception du script j'ai utilisé les information de ma CA auto-signée et sa fonctionne bien. (je veux dire par là, un certificat client est généré).

Puis... je me suis dit qu'au final, un certificat et une clé privée, j'ai sa aussi pour mon certificat serveur et lui est signé, qu'est-ce qui l'empêcherai de lui même générer des certificats client. A ce moment du raisonnement j'était tout content d'avoir trouvé une solution, mais vous vous en doutez, ma joie ne fus que de courte durée.

En faisant sa, j'ai droit à une erreur:

error:0E06D06C:configuration file routines:NCONF_get_string:no value
error:2207707B:X509 V3 routines:V2I_AUTHORITY_KEYID:unable to get issuer keyid
error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension

La première ligne y est en plusieurs exemplaires, cependant ce n'est pas celle là qui m'apparaît comme critique au contraire des deux dernières.

A force de réfléchir à la question je me suis demandé quel était la différence entre les deux certificats, celui de la CA auto-signée et mon certificat signé par cette CA.
Je suis donc retourné voir mon tutoriel qui explique comment pas à pas générer tout ce beau monde et effectivement, les deux commandes sont différentes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
openssl req -new -x509 -days 365 -key ca.key > ca.crt
openssl x509 -req -in servwiki.csr -out servwiki.crt -CA ca.crt -CAkey ca.key -CAcreateserial -CAserial ca.srl

Cela dit, si la commande est différente, j'ai quand même l'impression que c'est vachement similaire, je vois deux fois le mot "req" (mais pas sous la même forme) deux fois le mot "x509" (idem req)... du coup je me demande si en peaufinant les paramètres il n'y aurai pas moyen d'arrivé au résultat souhaité.
A savoir, la possibilité de signé les certificats pour les utilisateur avec mon certificat serveur; qui lui sera certifier non pas par ma CA auto-signée (et non reconnue) par une qui est reconnue et donc l'ensemble de mes certificats seront reconnu.

Merci d'avance pour votre aide.
Cordialement, orion.