Discussion :

[Manklyde]

Bonjour la communauté.

Je vous explique mon problème. J'ai crée des certificats, le root auto signé, une autorité intermédiaire signé par le root. Les subjects et issuers sont bon. Les certif sont valable et verifiable aucun souci a ce niveau la.

Cependant, quelque chose me turlupine au plus haut point et après moult recherche sur le net, j'ai tjs pas de solution.

Je cherche a activer IPSec avec comme methode d'authentification mes certif.
Du coup, j'export mon certificat intermediaire en PKCS 12 avec sa "chain" complète pour devoir ne faire qu'un seul import sur les machines windows.
J'import, jusqu'ici pas de souci. Dans le magasin autorité de confiance, j'ai bien mon certif root et l'intermediaire signé par le root, et ma chaine est valable. Mes certificats sont donc bien pris en compte par windows.

Venons en au gros probleme. Qd je vais dans le config IPSec et que je choisis ma methode d'authentification et que je sélectionne mon CA intermediaire, il me le prends mais dans la ligne je vois le "commonname" du root et non le sien.
Alors que qd je l'edit (dans windows), pas de souci dans "Objet" c'est bien lui même et son émetteur le root.
J'ai l'impression que la règle IPsec de windows me prends tjs le certificat root au lieu de son intermédiaire.

j'ai essayé d'importer les certificats separement, donc pas de pkcs12 avec la chaine complete etc.. mais rien n'y fait, quelque soit le certificat que je selectionne pour la methode d'authenfication j'ai l'impression qui me prends tjs le CA le plus haut donc le root. Mon intermédiaire il s'en fiche lol

Donc c'est assez genant parce que du coup des machines qui ont un certificat signé par un intermediaire different et qui donc ne devrait plus communiqué vu que dans la regle IPSec ils sont censé avoir dans la methode d'authentification des certificats differents. Mais la, elles continuent a communiquer du fait que chaque règle me prends le root au lieu de son intermédiaire.

Je sais pas si j'ai été très clair... mais si besoin d'info supplémentaire, je suis evidemment dispo :p

En vous remerciant et surtout en espérant que l'un de vous à une petite idée

[ram-0000]

Tu peux attacher les 2 pkcs 12 (sans les clés privées) ?

[Manklyde]

Non le format en lui meme comporte les deux et peux même comporter plusieurs certif, autant qu'on veut me semble-t-il. C'est pour ca

Mais personne a une petite idée d'ou pourrait venir ce "bug" ?

[ram-0000]

Tu peux attacher les 2 pkcs 12 (sans les clés privées) ?

On s'est mal compris, quand je disais attacher, je pensait à les attacher à un message du forum pour que l'on puisse les regarder .

[Manklyde]

Oula pardon lol, j'ai pas l'air c.. au moins la :p

Ce que je comprends pas, c'est quand j'importe mon pkcs12 dans le windows, pas de souci, je vois les deux CA (root+ intermédiaire) dans mon magasin, il a donc bien repéré les CA et découpé le fichier. Mais malgré tout, qd je sélectionne l’intermédiaire pour ma règle IPSec, dans la case il m'affiche le DN du root du coup il demande un certificat signé par le root et non par mon intermédiaire...

Mais en effet, je vais faire un post Mardi avec mon fichier, les commandes utilisées et des impressions d’écrans pour le reste.

[Manklyde]

Re bonjour :p

J'ai continué dans ma série de test pour essayer de voir si le problème venait du Windows ou plutôt de ma façon de créer les certificats avec openssl, ce que je pensais au départ mais plus ça va, plus j'ai l'impression que c'est "billou" qui nous fait des siennes.

J'ai donc crée des certificats root et intermédiaire de test, ici en pièce jointe. et j'ai rajouter des impressions d’écran du windows pour bien comprendre.

Comme on peut le constater (j'avais bien sélectionné le certif intermédiaire) on peut voir que pour la règle IPsec il me marque le DN du Root et non pas celui de l'intermediaire...Et la j'ai laissé au format .pem donc pas de souci de conversion..

Merci d'avance