Discussion :

[fantomchris]

Bonjour à tous!

Je viens vers vous aujourd'hui car j'ai un énorme soucis concernant une authentification ssl.

J'utilise ce type de commande:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
openssl genrsa -out key.pem 1024
openssl req -new -key key.pem -out demandecert.csr
openssl req -in demandecert.csr -days 0 -key Key.pem -x509 -out cert.pem

En sachant que, dernièrement, j'ai testé avec une clef donnée par le client et ça n'a pas mieux fonctionné.
J'ai toujours le même message de FireFox :

Le certificat n'est pas sûr car il est auto-signé.

J'ai vraiment essayé des dizaines de sites webs, et je n'arrive JAMAIS à mes fins. Et je commence légèrement à désespérer...

La dernière que j'ai consisterai à mettre un certain fichier (.chain) à la fin d'un autre. En gros, peu de précisions à ce sujet et un manque cruel de connaissances autour de moi.

De plus quand je regarde toutes aides à ce sujet, il semblerait que l'utilisation de certificats autosignés soit impossible sur un site hébergé chez OVH. Du moins je me le demande.

En résumé, pour toutes ces interrogations, j'ai besoin de votre aide

[_Mac_]

Le problème est général et ne concerne pas qu'OVH : un certificat auto-signé est par définition peu sûr car non émis par une autorité de certification reconnue (par le navigateur). Si tu ne veux plus de ce message, tu as plusieurs options :

• Soit tu veux vraiment un certificat de test valable un court moment et dans ce cas, tu peux demander (et obtenir) un certificat de test émis par une autorité de certification reconnue comme Thawte (j'imagine que Verisign propose aussi les certificats de test). Ce certificat sera valable 1 mois et ne posera pas de problème au navigateur car émis par Thawte qui est une autorité reconnue.
• Soit tu achètes un certificat auprès d'une autorité reconnue (Thawte, Verisign, etc.).
• Soit tu utilises un certificat émis par une autorité de certification "publiques", non payante, mais le risque c'est que ce certificat ne soit pas reconnue par tous les navigateurs car l'autorité de certification en question n'est pas reconnue par ces navigateurs. C'est l'alternative la plus intéressante dans ton cas si vraiment c'est exclu de pouvoir acheter un certificat.
• Soit tu crées avec OpenSSL un certificat d'autorité de certification que tu importes dans ton navigateur, puis tu signes un certificat avec cette autorité de certification maison. Ca ne marchera qu'avec les navigateurs dans lesquels tu auras importé le certificat de ton autorité de certification, donc si c'est pour un site grand public, oublie cette solution.

[Tchupacabra]

je cherchais justement dans infos à ce sujet..

merci _Mac_ pour tes explications très claires !