bonjour ,
je cherche à créer une liste de révocation puis la publier dans le LDAP mais je ne sais comment m'y prendre . quelq'un peut m'aider
merci
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
certificate revocation list
bonjour ,
je cherche à créer une liste de révocation puis la publier dans le LDAP mais je ne sais comment m'y prendre . quelq'un peut m'aider
merci
Salut,
Les classes de l'API standard ne permettent pas de créer des CRL (juste d'en lire), et il faut surement que tu crées toi eme la CRL à la main (ce qui est pas donné facilement... sauf si tu souhaites te plonger dasn ASN.1 et tutti quanti...)
Je ne sais pas si Bouncy Castle le permet (Marco pourra surement t'en dire plus là dessus, faut attendre qu'il passe dans le coin...)
D'une manière génére une CRL relève de la CA pas de la bibliothèque de crypto, car il ne faut en général pas créer une CRL comme ça, il vaut mieux un environnement un tant soit peu sûr pour le faire. Pour te donner une idée, regarde http://www.ejbca.org tu verras ce que c'est que de créer des certificats et des CRLs
Donc je ne pense pas que Bouncy Castle le permette comme ça (ça m'étonnerait mais tout est possible).
Pourquoi dois tu créer toi même la CRL ? Pourquoi ne pas le faire par la CA qui a émis tes certificats ? C'est ce qui doit se faire en général...
A plus
en fait je voudrais modéliser ça tout seul on créant une CA puis générer la CRL pour des certificat puis la publier dans le LDAP .
OK donc sit u veux créer une CA, tu vas devoir t'y coller. Trouve une codec qui gère ASN.1 (comme par exemple http://www.bouncycastle.org/ ou http://sourceforge.net/projects/codec/), lis la RFC correspondant aux CRL et voilà
Si je peux me permettre de poser la question : pourquoi veux tu écrire ta propre CA ? A but d'exercice ? Si c'est pour de la production, tu sais qu'une CA c'est complexe et qu'il faut faire attention à beaucoup de choses pour éviter les failles qui rendrait ta PKI inutile ?
A plus
en fait c'est pour exercice . donc concernant le CA et sa construction c'est symbolique mais il faut juste modéliser tout ce qui concerne création de certificat et génération de CRL par exemple .
merci pour ta réponse
Tu peux tout a fait créer des CRLs très facilement avec BouncyCastle, cf org.bouncycastle.x509.X509V2CRLGenerator.
Très pratique pour faire des tests.
La lecture de la RFC 3280 me parait quand même nécessaire pour comprendre ce que tu fais.
Répondre avec citation
Partager