Bonjour,

Je mets en place sur une application une authentification du client par certificat.

Cela fonctionne de la manière suivante :

- Mon serveur possède un certificat qui est signé par sa propre CA ;
- Mon client possède un certificat qui est signé par la CA du serveur ;
- Les deux certificats partage les même champs C, SR, O et OU.

Voici la configuration mise en oeuvre sur Apache :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
SSLEngine on
SSLCertificateFile      /root/CA/certs/servercert.pem
SSLCertificateKeyFile   /root/CA/private/server.key
SSLCACertificateFile    /root/CA/cacert.pem
SSLCertificateChainFile /root/CA/cacert.pem
En revanche, je ne parviens pas à faire reconnaître un certificat "externe". Mes clients possèdent des certificats sur clefs USB signés par une CA externe. Je souhaite donc mettre en place la configuration suivante :

- Mon serveur possède un certificat qui est signé par sa propre CA ;
- Mon client possède un certificat qui est signé par une autre CA ;
- Les deux certificats ne partage que le champs C.

Voici ce que j'ai tenté de faire :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
SSLEngine on
SSLCertificateFile      /root/CA/certs/servercert.pem
SSLCertificateKeyFile   /root/CA/private/server.key
SSLCACertificateFile    /root/CA/ca_externe.pem
SSLCertificateChainFile /root/CA/chain_externe.pem
Mais cela produit l'erreur "unkown_ca_alert". Quelqu'un a-t-il une idée de la configuration qui fonctionnerait ?

Merci.