Discussion :

[Bathou]

en fait j'ai saisi ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl ca -keyfile serverssl.key -cert serverssl.pem -config /usr/lib/ssl/openssl.cnf -name ca_default -extensions SERVER_RSA_SSL -infiles serverssl.crs

et sur le terminal j'obtiens ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
Error opening CA private key serverssl.key
6613:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen('serverssl.key','r')
6613:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:

[edit] on revien au poste d'avant, je suis un boulet...
il me dit donc qu'il attend un "trusted certificate..."

[KindPlayer]

T'es sur du chemin vers la clef privée de l'AC signataire? serverssl.pem est-il un certificat d'AC ? Si oui je te conseille de préfixer ou postfixer son nom par "AC" ou "CA" histoire de bien te rappeler que c'est un certificat d'AC. Tu n'as pas besoin de mettre -name CA_default quand la section est CA_default (c'est celle qui est choisie par défaut). Es-tu également sur que la requete de certificat (le fichier crs) a bien été créé. Je me suis fait avoir plusieurs fois en omettant "-new" quand je créais ma requête. Enfin la clairement vu l'erreur c'est un problème de chemin vers ta clef privée.

[Bathou]

le fichier .crs existe bien

j'ai tout repris depuis le début avec ce site la
et donc la dernière ligne que j'ai tapé c'est :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl ca -out cassl/cassl.pem -keyfile cassl/cassl.key -cert cassl/cassl.crs -config /usr/lib/ssl/openssl.cnf -extensions CA_SSL -infiles cassl/cassl.crs

et sur le terminal, j'ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
unable to load certificate
7078:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:644:Expecting: TRUSTED CERTIFICATE

donc il ne veut pas me faire le cassl.pem alors que j'ai bien le cassl.key et le cassl.crs dans mon dossier cassl...

[ram-0000]

Enfin la clairement vu l'erreur c'est un problème de chemin vers ta clef privée.

Vérifie aussi les droits d'accès !!

[Bathou]

puis je demander... c'est quoi les droits d'accès...??

[KindPlayer]

Tu devrais lire le man d'openssl il y ades choses que tu n'as pas compris je pense au niveau des options. Tu as écrit -cert cassl/cassl.crs or, l'argument de l'option cert doit etre le certificat d'AC signataire, le csr doit etre argument de l'option -in. Tu as combien de niveaux de certificats ? Ton exemple suggère que tu en as 3 (AC root , AC intermediaire, certificat terminal). De plus il est maladroit de nommer le fichier clé privée d'AC signataire et le certificat de sortie du même nom comme tu as fait (cassl.key et cassl.pem).
Le schéma de création est le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
openssl genrsa options -out pv_key.key
openssl req options -key pv_key.key -out certif.csr
openssl ca options -keyfile CA_pv_key.key -cert CA_certif.pem -in certif.csr -out certif.pem

En supposant que tu aies deja créé un certificat d'AC et sa clef privée associée
Dans options il peut y avoir -config openssl.cnf -extensions [section] etc. pour un certificat.
http://resin.csoft.net/cgi-bin/man.c...&topic=openssl

[KindPlayer]

J'ajoute que tu n'as pas besoin de spécifier -keyfile et -cert, si tu fais référence à la bonne section, c'est à dire si tu as mis -config openssl.cnf -name [la section qui va bien avec les bons chemins vers Certificat d'ac et cléf privée ]

[ram-0000]

puis je demander... c'est quoi les droits d'accès...??

Tu es sur quelle plateforme ? Linux ou Windows ou autre ?

Les droits d'accès sont des attributs (je fais simple) positionnés sur un fichier ou un répertoire permettant de dire qui (quel utilisateur ou groupe d'utilisateur) à le droit de lire, écrire, modifier, effacer le fichier ou le répertoire.

Dans ton cas, il faut que tu aies le droit de lecture sur le ou les fichiers la clé privée et publique de ton authorité de certification CA.

Si je te demande cela, c'est que la clé privée d'une CA est un fichier très sensible et qu'en général, elle est mieux protégée que la clé publique (qui comme son nom l'indique ne nécessite aucune protection particulière puisqu'elle est publique).

[Bathou]

ok!

donc je suis sous linux debian

voilà ce que j'ai fait :
pour le CA :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
openssl genrsa -out ca/CA_cle.key 2048
openssl req -new -x509 -key ca/CA_cle.key -out ca/Ca_cert.pem
 
la je rentre toutes les infos et je met mon @ip dans Common Name

et ensuite j'ai tapé les lignes de KindPlayer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
openssl genrsa -out pv_key.key
openssl req -new -key pv_key.key -out certif.csr
 
j''ai rempli les infos...
 
 
openssl ca -keyfile ca/CA_cle.key -cert ca/Ca_cert.pem -in certif.csr -out certif.pem

et là mon terminal m'affiche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Using configuration from /usr/lib/ssl/openssl.cnf
I am unable to access the ./demoCA/newcerts directory
./demoCA/newcerts: No such file or directory

[KindPlayer]

ah ouai y a ça aussi. En fait c'est prévu d'avoir un fichier d'index référençant tous les certificats émis, ceux révoqués etc. openssl met une copie des certificats créés dans un répertoire "cert". Il y a également un fichier auto-incrémental qui gère le numéro de série. Il faut configurer ça dans le fichier openssl.cnf
Crée ces dossiers dans ton arborescence

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
CA_ROOT_DIR=<ton repertoire "racine">
mkdir $CA_ROOT_DIR
mkdir $CA_ROOT_DIR/newcerts #ici seront mis par openssl une copie des certificats créés
mkdir $CA_ROOT_DIR/crl #ici un repertoire pour gérer les crl si besoin est
touch $CA_ROOT_DIR/index.txt
echo '01' > $CA_ROOT_DIR/crlnumber.txt
echo '01' > $CA_ROOT_DIR/serial

et configure ton fichier openssl.cnf en fonction. Il faut répéter cette opération autant de fois qu'il y a d'AC

[Bathou]

configure ton fichier openssl.cnf en fonction

c'est à dire...?

j'ai tapé les lignes mais ca change pas grand chose...

[KindPlayer]

Il faut que tu aies un truc dans ce genre dans ton fichier openssl.cnf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
dir=.
CA_ROOT_DIR=<ton repertoire racine pour les certificats>
[CA_default]
certs		= $dir/$CA_ROOT_DIR/certs
crl_dir		= $dir/$CA_ROOT_DIR/crl	
database	= $dir/$CA_ROOT_DIR/index.txt
new_certs_dir	= $dir/$CA_ROOT_DIR/newcerts	
 
certificate	= $dir/$CA_ROOT_DIR/AC_certificate.pem
private_key	= $dir/$CA_ROOT_DIR/AC_private_key.key
 
serial		= $dir/$CA_ROOT_DIR/serial 
crlnumber	= $dir/$CA_ROOT_DIR/crlnumber.txt

adapte en fonction de tes repertoires et des noms que tu as choisi. Il faut que ca concorde

[Bathou]

bonjour!
alors, après avoir adapté mon fichier openssl.cnf et refais toutes les manips, j'ai à nouveau une erreur avec la fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
long ret = SSL_get_verify_result(ssl);
 
 
    if(ret!= X509_V_OK)
 
    {
	if (ret ==X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY){printf("ok!\n");}else{printf("po ok\n");}
	  perror("SSL accept error\n");
	  ERR_print_errors_fp(stderr);
	exit(1);
 
    }

l'erreur que j'ai testé : c'est la suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
20 X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY: unable to get local issuer certificate
the issuer certificate of a locally looked up certificate could not be found. This normally means the list of trusted certificates is not complete.

qu'est ce que je peux faire...??

[KindPlayer]

Alors pour commencer as tu maintenant un certificat d'AC et un certificat terminal signé par cet AC ? As tu fais un verify en ligne de commande?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
openssl verify -CAfile <certif d'AC signataire> <certificat signe>

L'erreur indique qu'il n'arrive pas à trouver le certificat d'AC (l'issuer) pour vérifier la signature.

[EDIT]
J'ai cherché un peu je pense qu'il faut regarder du coté de set_verify_depth
http://www.openssl.org/docs/ssl/SSL_...t_verify.html#

[Bathou]

je confirme il y a un problème :
j'ai tapé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 openssl verify -CAfile ca/ca_cert.pem cassl/cli/cli_cert.pem

et j'ai récolté :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 cassl/cli/cli_cert.pem: /C=FR/ST=fr/L=Paris/O=aastra/OU=matra/CN=10.102.13.114
error 20 at 0 depth lookup:unable to get local issuer certificate

[KindPlayer]

ben à part un problème de chemin je vois pas trop T'es sur que t'as pas créé une AC intermédiaire ?

[Bathou]

euh... si je crois que je l'ai fait...

[KindPlayer]

ben dans ce cas il faut faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
openssl verify -CAfile <certifcat racine> -untrusted <certificat intermediaire> <certificat terminal>

Rajoute l'option -verbose aussi comme ça tu verras mieux ce qui se passe s'il y a encore une erreur.

[Bathou]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cassl/cli/CERT_CLI.pem: OK

donc euh, c'est bon non??

[KindPlayer]

oui