Version imprimable
salut
je veut créer des certificat (x509) , faut il passer par un serveur CA :roll:, (procedure client serveur :?) comme c décrit dans ce lien http://www.imacat.idv.tw/tech/sslcerts.html#termcert
je veut juste créer un ensemble de clés publiques certifiés pour l'authentification des nœuds d'un réseau????
pour le moment je crée une clé privée RSA et je dérive la clé publique à partir de cette dernière (mais c pa sécurisé , n'est ce pas???)
remarque: j'utilise le la biblio openssl
bonne journée
on dit CA mais pas serveur CA.
Oui, ton certificat x509 doit être signé par une CA.
Un certificat x509 contient globalement:
- une clé publique
- un objet (adresse IP, site WWW, adresse mail, ...)
- les utilisations possibles de ce certificat (signature, chiffrement, ...)
- la signature par une CA du contenu
Donc dans ton cas, cela passe d'abord par la création d'une CA (auto signée puisque non signée par un organisme "'officiel" genre verisign)
Puis la création de tes certificats pour l'authentification des nœuds d'un réseau signés par cette CA autoproclamée.
Rassure toi, on trouve beaucoup de CA auto signées (même dans des organisations officiels :P). La seule différence est que cette CA a moins de légitimité qu'une CA signée par un officiel.
Autre chose, quand tu dis "je crée une clé privée RSA et je dérive la clé publique à partir de cette dernière", c'est impossible (ou alors tu es très fort).
Les clés privées et publiques sont générées en même temps. Il est impossible (pour l'instant et dans l'état actuel de nos connaissances) d'obtenir la clé privée à partir de la clé publique et d'obtenir la clé publique à partir de la clé privée.
salut:alerte:
vous avez raison:oops: , je dérive ma clé publique d'une paire de clé à l'aide de la fonction PublicKey_dup
mais je vois pas vraiment la différence entre le paireKey et le privatekey . la clé privé contient tous les champs à ma connaissance :roll:Code:
2
3
4PairKey = RSA_generate_key(512, RSA_F4, NULL, NULL); PubKey = RSAPublicKey_dup(PairKey); privateKey = RSAPrivateKey_dup(PrivKey);
j'ai une autre question : dois je certifier mes clés publiques avec le certificat x509 , ou je saute cette étape et je génère une paire de clé au niveau de chaque nœud (sans CA) , et je diffuse la clé public seulement ???:roll:
Ce que j'imagine (je ne connais pas dans les détails l'API openssl), c'est que la fonction RSA_generate_key() génère une paire de clés et stocke les 2 clés dans un container PairKey.
La fonction RSAPublicKey_dup() extrait la clé publique du container de bi clés et stocke celle ci dans un contenair de clé publiques PubKey.
La fonction RSAPrivateKey_dup() extrait la clé privée du container de bi clés et stocke celle ci dans un contenair de clé privées privateKey.
PairKey comme son nom l'indique est un contenair ou un variable pour stocker les 2 clés.
privatekey est un contenair ou une variable pour une clé privée
Cela dépend de ce dont a besoin ton programme. S'il veut un certificat, il n'y a pas à tortiller, il faut faire certifier tes clés, s'il veut des clés publiques/privées, pas besoin de certificat.Citation:
Envoyé par clubinfo
Alors moi je viens de finir mon projet qui avait toute une partie concernant les certificats x509 et j'ai donc du utiliser openSSL.
Tout dépend de l'utilisation que tu va faire de ces certificats ?!
- Pour un serveur sur lequel seul toi et quelque amis aurons accès ?
- Pour un serveur style boite mail ou quelque chose du genre GRAND PUBLIC ?
Ce qu'il faut te dire c'est que tu n'est pas OBLIGER de passer par un CA afin d'obtenir un certificat VALIDE !
La seul chose qui détermine si ton certificat est valide ou non est la confiance que te porte les personne qui iront sur ton serveur, et windows, et aussi les outils de navigations internet qui te diront :
ATTENTION le certificat n'a pas pu être vérifier comme provenant d'une source sûr ... Voulez vous continuer ?
Il y a aussi le problème des clefs :
Certaine clefs sont dites plus FAIBLE que d'autres.
Le fait que ton certificat provienne d'une source sûr (d'un CA comme par exemple VeriSign, à XXXX€ :p) est un gage de confiance sur la robustesse de cette clef.
Mais si l'utilisation de celui-ci est pour un cercle privé alors tu peut créé ton certificat toi même à partir d'open SSL comme suit :
openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout mycert.key -out mycert.pem
Qui va te fournir un paire de clefs :
le .key encodé base64 est le conteneur de la clef privée.
le .pem conteneur du certificat encodé base64.
Apres suit les options d'openssl afin de convertir ton certif suivant le format voulu :
PKCS#7,
DER,
caractère lisible (base64),
PKCS12 (windows...)
Etc...
Bonne chance :)
bonjour
je vous remercie d'abord pour votre explication bien claire.:king:
en effet je travaille sur un projet de sécurité réseaux ad hoc , et le certificat que je dois fournir est privée , je veux dire n'est pas liée à un serveur .
comme vous avez dit
"Pour un serveur sur lequel seul toi et quelque amis aurons accès ?"
disons :pour protéger des messages échangées localement par les membres du réseaux
je travaille avec le format DER pour le moment .
j'attends tjr vos remarques et conseils professionnels .
merci et bonne journée
He bien tu peux utiliser un certificat créé par tes soins, mais cela dit il est vrai que tu peux en prendre un chez un CA valide pour "plus" de sécurité...Citation:
"Pour un serveur sur lequel seul toi et quelque amis aurons accès ?"
disons :pour protéger des messages échangées localement par les membres du réseaux
Tiens ! Pour te donner une idée des prix (je ne sais pas si j'ai le droit de poste ici mais bon, le cas échéant un modérateur supprimera :p )
Dans tout les cas OPENSSL est très complet donc le fait de créer un certificat x509V3 comme je l'indique ci-dessus...Citation:
ICI :)
Ne t'empeches en rien de le convertir au format DER.Code:openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout mycert.key -out mycert.pem
Via cette page : Ou directement en tapant :
Dans tous les cas sache qu'un certificat format PEM n'est autre que le même que celui format DER à la seul différence que ton certificat .DER n'est pas encodé base64 et n'a pas les "balises" de début et de fin notées:Code:openssl x509 -outform der -in certificate.pem -out certificate.der
Code:
2
Voila. Je pense que pour des raisons professionnelles ou même des raisons de confiances envers ton propre certificat créé via OPENSSL il me semblerais plus judicieux de jeter un coup d'oeil à ceux délivrés par des autorités compétentes.
Bonne soirée :)
salut
un certificat payant c cher;) , je préfère délivrer mon certificat moi même
un certificat auto signée comme certificat de CA , pour signer les certificats des autre membres de mon rx .:roll:
merci bcp & bonne soirée