Discussion :

[gentelmand]

bonjour ,
je veux sauvegarder une clé publique dans le LDAP mais je ne trouve pas l'objectClass qui le permet .
est ce que quelqu'un connait ça
merci

[OButterlin]

LDAP v3 ? Si oui -> userCertificate

[gentelmand]

en fait je voudrais enregistrer des entités comme les CA dans le LDAP et mettre pour chacune sa clé publique dans le LDAP.

[Marco46]

Un certificat est censé contenir la clef publique. Donc tu enregistres le certificat de la CA et des CA Intermédiaires.

[gentelmand]

tu veux dire que pour chaque CA je lui crée son certificat auto signé et comme ça je peux récupérer la clé publique comme si je récupére celle d'un client ?

[Marco46]

Un CA Racine est un certificat auto-signé. C'est à dire qu'il est signé par sa propre clef privée, et on peut vérifier sa signature avec sa propre clef publique. Il sert ensuite à signer tous les certificats intermédiaires avec sa clef privée. Tu peux donc vérifier l'authenticité du certificat intermédiaire en vérifiant qu'il a bien été signé via la clef publique du certificat du CA racine, et ainsi de suite pour les certificats utilisateurs. C'est la chaine de certification.

Je ne sais pas quel navigateur tu utilises mais sur Firefox par exemple tu fais "Outils" -> "Options" -> section "Avancé" -> Onglet "Sécurité" -> bouton "Afficher les certificats" -> Onglet "Autorités" et tu te retrouves avec une liste de tous les certificats contenus dans ton navigateur. En installant ton navigateur, tu acceptes implicitement que ces certificats auto-signés sont valides et authentiques. C'est ce qui te permet de te connecter en HTTPS sur des sites de e-commerce et d'acheter en ligne. C'est ce qui permet à ton navigateur de t'indiquer quand le certificat d'un site n'est pas conforme, ou révoqué, ou invalide pour une raison X ou Y.

Toi pour ta CA à toi, tu dois mettre en disponibilité le certificat de ton CA racine, et visiblement tu as choisi LDAP pour ça. Donc oui tu rajoutes le certificat de ta CA racine dans ton LDAP ainsi que tous les certificats des AC Intermédiaires qui découlent du CA racine afin de permettre à tes utilisateurs de valider le chemin de certification.

Je ne pense pas qu'il soit possible d'avoir un certificat X.509 norme v2 ou v3 valide sans avoir la clef publique associée. Ça n'aurait pas beaucoup de sens.

Plus simplement, la réponse à ta question est OUI.

[gentelmand]

pour créer un certificat auto-signé c'est le meme principe que pour la création de certificat normal sauf que c'est la CA elle meme qui la signe ?

[Marco46]

Oui.