openSSL et certificat

Version imprimable

Voir 40 message(s) de cette discussion en une page

06/08/2008, 15h51
Bathou

openSSL et certificat
Bonjour!
j'ai un petit problème avec mes certificats...
j'ai fait des recherches sur le net pour chercher comment en créer pour mon appli serveur/client, j'ai cru trouver mon bonheur sur ce site :la
et malheureusement, ca ne fonctionne pas...
il y a toujours un problème sur cette fonction : (on est coté client et le certificat c'est dans keyfile)
Code:

1 2 3 if(!SSL_CTX_load_verify_locations(ctx, keyfile, NULL)) berr_exit("Can't read location verify");
donc je me demande pourquoi ça ne fonctionne pas...
sinon, autre question, dans l'exemple que j'ai récupéré, les certificats sont .PEM et sur mon site, ca fait des .CRT. Y a t'il une différence??? (ce qui expliquerai que ça ne fonctionne pas???)

par avance, merci pour vos réponses

finalement, je n'ai plus de problème avec cette fonction, c'est mon module de vérification des certificats qui coince un peu...

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
void check_cert(SSL *ssl,char *host)
{
    X509* peer;
    char peer_CN[256];
 
    if(SSL_get_verify_result(ssl) != X509_V_OK)
    {
        berr_exit("Certificate doesn't verify");
    }
 
    /* Check the cert chain. The chain length
       is automatically checked by OpenSSL when
       we set the verify depth in the ctx */
 
    // Check the common name
    peer = SSL_get_peer_certificate(ssl);
    X509_NAME_get_text_by_NID(X509_get_subject_name(peer), NID_commonName, peer_CN, 256);
 
    host="10.102.13.114";
 
    if(strcasecmp(peer_CN,host))
    {
        printf("%s\n ",peer_CN);
	printf("%s\n",host);
        err_exit("Common name doesn't match host name");
    }
}

comprends po...8O

06/08/2008, 17h50
KindPlayer

moi non plus 8O
Qu'est ce qui ne marche pas au juste ?
06/08/2008, 17h59
Bathou

a priori ca coince sur la fonction SSL_get_verify_result...
06/08/2008, 18h32
KindPlayer

C'est peut etre ton pointeur ssl qui a pas été alloué? Tu peux donner le message d'erreur s'il y en a un?
07/08/2008, 09h27
Bathou
ben si, il a du être aloué... vu que je l'utilise avant dans mon programme principal avec la fonction SSL_connect... j'aurais eu des problèmes avant non??
j'ai mis ça pour obtenir l'erreur,
Code:

1 2 3 4 5 6 7 8 9 if(SSL_get_verify_result(ssl) != X509_V_OK) { perror("SSL accept error\n"); ERR_print_errors_fp(stderr); exit(1); }
et c'est très très fort parce que ca me renvoie ca :
Code:

1 2 SSL accept error : Success
alors la, je ne comprends pas...:cry:
je suis très très perplexe... 8O
07/08/2008, 09h34
KindPlayer

quand tu dis que ca coince, il se passe quoi exactement? Un segmentation fault ou juste un code d'erreur ?

je n'ai pas

Code:

SSL_get_verify_result(ssl) = X509_V_OK

ce que je souhaiterai parce que du coup, je me retrouve dans mon if et ca quitte le programme...

et au cas ou j'enleve cette fonction, c'est après que ca me plait pas...
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 peer = SSL_get_peer_certificate(ssl); X509_NAME_get_text_by_NID(X509_get_subject_name(peer), NID_commonName, peer_CN, 256); host="10.102.13.114"; if(strcasecmp(peer_CN,host)) { printf("%s\n ",peer_CN); printf("%s\n",host); err_exit("Common name doesn't match host name"); }
parce que dans peer_CN, il me met une adresse bizarre : 161.73.54.188
et je ne comprends pas d'ou il la sort... elle devrai correspondre à mon adresse d'hote vu que c'est moi qui ai fait le certif... ou alors, je n'ai pas tout compris...:aie: (ce qui est fort possible...)

07/08/2008, 09h50
ram-0000
Citation:
Envoyé par Bathou

Code:

1 2 3 4 5 6 7 8 9 if(SSL_get_verify_result(ssl) != X509_V_OK) { perror("SSL accept error\n"); ERR_print_errors_fp(stderr); exit(1); }

et c'est très très fort parce que ca me renvoie ca :

Code:

1 2 SSL accept error : Success
Pour avoir un résultat pareil, ta fonction ERR_print_errors_fp(), elle utile/analyse quelle variable d'erreur, errno ou bien la variable d'erreur de la couche SSL

quel est le code de retour de SSL_get_verify_result(), suivant la valeur, cela pouura t'aider à comprendre ton erreur. Voici la liste des valeurs de retour qu'elle peut prendre.

Prend l'habiture d'afficher tes codes de retour surtout en phase de mise au point et de ne pas tester uniquement par rapport à ce que tu attends, cela t'aidera
Code:

1 2 3 4 5 6 7 8 long ret = SSL_get_verify_result(ssl); if(ret != X509_V_OK) { perror("SSL accept error, code ret = %d\n", ret); ERR_print_errors_fp(stderr); exit(1); }
07/08/2008, 09h52
KindPlayer

[ croisement avec ram_000 ]
Je peux pas trop te dire ce qui va pas dans ton certificat. Ce que je peux te dire c'est que dans le cas d'un certificat serveur, il faut que le CN soit le même que le nom du serveur.
J'ai trouvé cette page qui détaille les différentes erreurs de la fonction, avec ça tu devrais arriver à isoler l'erreur.
http://publib.boulder.ibm.com/infoce...fy_result.html

Tu devrais tracer le code de retour de ta fonction verify au lieu de juste regarder si c'est pas égal a X509_V_OK. Apres tu regardes dans le .h à quelle type d'erreur correspond la valeur numérique renvoyée.
07/08/2008, 10h07
Bathou

j'ai trouvé l'erreur :

X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: self signed certificate
the passed certificate is self signed and the same certificate cannot be found in the list of trusted certificates.

comment je peux faire pour corriger cette erreur...?

Citation:

Tu devrais tracer le code de retour de ta fonction verify au lieu de juste regarder si c'est pas égal a X509_V_OK. Apres tu regardes dans le .h à quelle type d'erreur correspond la valeur numérique renvoyée.

je n'ai pas tout compris...

Citation:

Envoyé par Bathou

Citation:

Tu devrais tracer le code de retour de ta fonction verify au lieu de juste regarder si c'est pas égal a X509_V_OK. Apres tu regardes dans le .h à quelle type d'erreur correspond la valeur numérique renvoyée.

je n'ai pas tout compris...

A peu près la même chose que ce que je t'ai dit :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 long ret = SSL_get_verify_result(ssl); switch(ret) { case X509_V_OK : break; case X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT: printf("self signed certificate the passed certificate is self signed and the same certificate cannot be found in the list of trusted certificates"); exit(1); etc... }
C'est sûr, c'est un peu plus long mais c'est plus safe et en cas de problème, tu sais immédiatement d'où vient le problème (après, il faut chercher la cause mais tu gagnes du temps).

Pour en revenir à ton problème :
Je suppose que tu n'as qwu'un seul certificat que tu as généré toi même, le certificat auto signé (self signed)

En fait, il te faut 2 certificats :
le 1er est celui que tu as déjà généré, c'est ton autorité de certification. Ce certificat ne peut servir qu'à signer/valider les autres certificat de cette autorité de certification.

Le 2ème certificat (que tu n'as pas), c'est un certificat serveur signé par ton autorité de certification. C'est ce certificat qu'il faut que ton appli utilise et ensuite, elle utilisera le 1er certificat pour vérifier que le certificat server est émis par une autorité de certification valide (connue et acceptée par toi).

Au travail maintenant !!

07/08/2008, 10h42
Bathou

"oui chef!"

question : les deux certificats, c'est tous les deux des .PEM ??
et donc, si j'ai compris...
je refais

openssl genrsa -out key2.pem 2048
openssl req -new -x509 -key key2.pem -out certif2.pem -days 365

et dans mon programme, le client, comme nom de certificat je met certif2.pem ??

et pouf ca marchera ??
ce qui m'embete c'est le :

Citation:

signé par ton autorité de certification

et :

Citation:

ensuite, elle utilisera le 1er certificat pour vérifier que le certificat server est émis par une autorité de certification valide

.

parce que soyons honnete, les certifs et moi ca fait 12000 :oops:

bon alors j'ai fait :
openssl genrsa -out key_serv.pem 2048
openssl req -new -key key_serv.pem -out certkey.pem
openssl x509 -req -days 365 -CA cacert.pem -CAkey privkey.pem -CAcreateserial -in certkey.pem -out CERTIFICAT.pem

et ça ne marche pas en mettant comme certificat CERTIFICAT.pem
j'ai ooublié une option quelque part...?
07/08/2008, 11h09
ram-0000

Ici, la démarche à l'air assez claire et en plus, c'est du francais.

A priori, le §2.1, tu l'as déjà fait, il te restre à faire le §2.3 à faire
07/08/2008, 11h42
Bathou
merci beaucoup pour le site
mais euh... au risque de devenir rabat joie...
jai un problème pour la ligne

Code:

openssl ca -config /usr/lib/ssl/openssl.cnf -name CA_ssl_default -extensions SERVER_RSA_SSL -infiles cassl/serverssl.crs

le terminal m'affiche :
Code:

1 2 variable lookup failed for CA_ssl_default::private_key 5162:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_ssl_default name=private_key
donc si j'ai suivi, j'ai un problème avec CA_ssl_default...
pourquoi donc...
07/08/2008, 11h57
KindPlayer

a mon avis c'est le nom de ta clef privée qui est pas bonne. Si aucune clef privée n'est spécifiée en ligne de commande, il va la chercher dans le fichier openssl.cnf Regarde ce que tu as dans ton fichier openssl.cnf et vérifie que l'entrée "private_key" renvoie bien sur la clef privée de ton AC. Sinon tu peux l'indiquer en ligne de commande avec -keyfile <private_key>
07/08/2008, 12h02
KindPlayer

CA_ssl_default tu es sur que ca correspond a une section dans le fichier openssl.cnf ? Parce que sur le lien que t'as indiqué ram_000, l'auteur a lui-même rajouté cette section. Par défaut il n'y a que la section CA_default. Donc vérifie ton fichier openssl.cnf.

j'ai mis keyfile dans la ligne mais j'obitiens ca :

Code:

1
2
variable lookup failed for CA_ssl_default::certificate
5510:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_ssl_default name=certificate

sinon dans mon fichier open?cnf j'ai ca :

Code:

1
2
3
4
5
6
7
certificate	= $dir/cacert.pem 	# The CA certificate
serial		= $dir/serial 		# The current serial number
crlnumber	= $dir/crlnumber	# the current crl number
					# must be commented out to leave a V1 CRL
crl		= $dir/crl.pem 		# The current CRL
private_key	= $dir/private/cakey.pem# The private key
RANDFILE	= $dir/private/.rand	# private random number file

07/08/2008, 12h10
KindPlayer

d'apres l'erreur je dirai que le chemin vers le certificat d'AC n'est pas valable. Verifie que le chemin (et le nom) du certificat d'AC correspond bien à la ligne "certificate=$dir/...." dans openssl.cnf
Tu peux également l'indiquer en ligne de commande avec l'option -cert <CA certificate>

en mettant le certificat en commande, il me met

Code:

1
2
unable to load certificate
6132:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:644:Expecting: TRUSTED CERTIFICATE

Voir 40 message(s) de cette discussion en une page