question sur les certificats

par **Taltos** » 02 Juin 2004 11:01

Bonjour!

en me baladant j'ai trouvé ce site qui est extrementment bien
http://jurastick.dyndns.org

de la j'ai trouvé cela:
http://minilien.com/?jkTsvr8ipq (j'adore les miniliens)

effectivement a chaque fois que j'accedais en https a mon smeca me gavais de voir que mon certificat n'etait pas signé... maintenant le pb est réglé...

mais cette action a declencher plusieurs questions chez moi:

puis je utiliser mon sme comme autorité
pour que mon serveur IIS puis faire lui aussi du SSL ?
pour signer des macro VBA?
signer des messages dans outlook ?

faire le café ?

Voila ... je me plonge dans les certificats pour les nuls en atendant vos reponses ...

A+

par **Franck78** » 02 Juin 2004 12:45

Tu as déjà tout un gestionnaire pki (certificats) chez mickeysoft. "Certificate server". Payant sans doute.

Si tu préfères le clavier, alors openssl est pour toi.

Assez rébarbatif , (je suis incapable de mémoriser une commande par exemple). Mais il fait 'tout' !

Dont la génération de ce fameux certificat racine le "CaRoot".

Son problème, c'est qu'il se signe lui-même. Je dis que je suis Taltos, mais en fait, nous on a rien pour te croire...

Donc tu le fais signer à son tour par une autre autorité, que cette fois, nous, on peut croire.

Un conseil: ne le perd pas, c'est en général pas gratuit pour le faire signer !

Une fois que tu auras commencé à générer des certifs, tu en enverras forcément un à un $%#&!. Alors tu révoqueras son certificat. Donc ne perds jamais la CRL qui va avec ton certificat.

Des Certificateurs 'gratuit':

IXUS pour les membres 'assidus' c'est pas une bonne idée ?

THWATE
délivre un certificat simple de ton adresse email.
ou un autre sur ton identité si plusieurs 'avocats' de leurs réseau t'accordent des points de crédits.
(en gros si dix personnes de confiance affirment que tu es bien celui que tu prétends, adresse etc..., tu reçois un certificat plus complet).

bye

par **Taltos** » 02 Juin 2004 13:28

Pffiou... je viens de terminer le sommaire de "les certificats ppur les nuls" et je suis deja largué !
j'attend bcq de ta reponse franck78 :lol:

Franck78 a écrit:Tu as déjà tout un gestionnaire pki (certificats) chez mickeysoft. "Certificate server". Payant sans doute.

justement c'est ce que je veux eviter

Franck78 a écrit:Si tu préfères le clavier, alors openssl est pour toi.

heu je prefere le gratuit au payant, la souris au clavier, le facile au difficile (comme tout le monde quoi)

Assez rébarbatif , (je suis incapable de mémoriser une commande par exemple). Mais il fait 'tout' !

c'est marrant y des petites phrases lorsqu'elle sont dites par certains, qui effraie plus que d'autres :roll:

Franck78 a écrit:
Dont la génération de ce fameux certificat racine le "CaRoot".

Son problème, c'est qu'il se signe lui-même. Je dis que je suis Taltos, mais en fait, nous on a rien pour te croire...

Donc tu le fais signer à son tour par une autre autorité, que cette fois, nous, on peut croire.

dans ma tete c'est mon e-smith qui certifiait que j'etait bien celui que je prentend etre (sur mon lan au moins)

Franck78 a écrit:Un conseil: ne le perd pas, c'est en général pas gratuit pour le faire signer !

Une fois que tu auras commencé à générer des certifs, tu en enverras forcément un à un $%#&!. Alors tu révoqueras son certificat. Donc ne perds jamais la CRL qui va avec ton certificat.

Des Certificateurs 'gratuit':

IXUS pour les membres 'assidus' c'est pas une bonne idée ?

THWATE
délivre un certificat simple de ton adresse email.
ou un autre sur ton identité si plusieurs 'avocats' de leurs réseau t'accordent des points de crédits.
(en gros si dix personnes de confiance affirment que tu es bien celui que tu prétends, adresse etc..., tu reçois un certificat plus complet).

bye

Merci franck78, tu m'a bien remonté le moral :shock:

c'est vraiment un plaisir de threader avec toi :lol:

Bon j'attaque la premier page ;-)

PS: si j'ose, le server.cert et le server.key que j'ai generer sur mon e-smith, le cert c'est bien un certificat c'est ca ? mais pas racine c'est ca ? donc mon serveur IIS il ne peux pas l'utiliser c'est bien ca ?

A+

par **Franck78** » 02 Juin 2004 14:06

Taltos a écrit:PS: si j'ose, le server.cert et le server.key que j'ai generer sur mon e-smith, le cert c'est bien un certificat c'est ca ? mais pas racine c'est ca ? donc mon serveur IIS il ne peux pas l'utiliser c'est bien ca ?

A+

connais pas sme mais je dirais que:

server.cert c'est un certificat pour ta machine , apache aussi peut-être.
server.key : clé privée ?

tu dois bien avoir un autre certificat quelquepart qui s'appelle
"caroot.pem" (ou autre extension)

tans pis si tu n'apprécies pas le clavier mais tu peux:

#openssl x509 -text -in server.cert
pour voir son contenu !

Le CARoot, tu verras que Subject et Issuer sont identiques.

pour générer un certif ca doit être en gros

#openssl req -nodes -newkey rsa:1024 -keyout fichierkey.pem -out certreq.pem
(créée le certificat, non signé)

#openssl ca -days 365 -notext -in certreq.pem -out certifsigné.pem
(tu le signes ou tu l'envoie se faire signer)

#openssl pkcs12 -export -inkey fichierkey.pem
-in certifsigne.pem
-name "un nom"
-passout password (protège le pkcs)
-certfile ...cacert (ton certif Ca)
-caname "un nom"
-out fichier.p12

Rassemble un certificat, le certificat root, la clé privée, dans un paquet protégé par mot de passe, pour une autre machine par exemple.

Cette séquence est utilisée dans Ipcop pour générer l'émission d'un certificat pour client VPN (net ou roadwarrior).

Voila openssl. Que des commandes commme celles-ci !

Tu peux faire utiliser a ton IIS le certif que tu veux. Faut chercher ou il est planqué pour le remplacer par le tien.
(faut qu'il fournisse au moins les mêmes fonctions)

question sur les certificats

question sur les certificats

Qui est en ligne ?