OpenSSL : signature de certificat client / erreurs

[Guepi]

Bonjour. <BR> <BR>Je travaille sur l'excellent document d'Eric Faure pour la création d'un VPN entre une machine sous MNF et des clients nomades sous windows. <BR>Je suis au petit 8. ( soit à la page 12 de la version 1.02). <BR> <BR>Je créé donc un certificat, mais lorsque je veux le signer, j'obtiens le message suivant : <BR> <BR>

Code: Tout sélectionner

  <BR>./CA.sh -sign <BR>Using configuration from /usr/lib/ssl/openssl.cnf <BR>Enter PEM pass phrase: <BR>Check that the request matches the signature <BR>Signature ok <BR>The Subjects Distinguished Name is as follows <BR>countryName           <IMG SRC="images/smiles/icon_razz.gif">RINTABLE:'FR' <BR>stateOrProvinceName   <IMG SRC="images/smiles/icon_razz.gif">RINTABLE:'France' <BR>localityName          <IMG SRC="images/smiles/icon_razz.gif">RINTABLE:'Paris' <BR>organizationName      <IMG SRC="images/smiles/icon_razz.gif">RINTABLE:'Societe' <BR>commonName            :T61STRING:'machine' <BR>emailAddress          :IA5STRING:'em@il.com' <BR>ERROR:Serial number 01 has already been issued, <BR>      check the database/serial_file for corruption <BR>The matching entry has the following details <BR>Type      :Valid <BR>Expires on    :130728194247Z <BR>Serial Number :01 <BR>File name     :unknown <BR>Subject Name  :/C=FR/ST=France/L=Paris/O=Societe/CN=fwsp/Email=em@il.com <BR>Signed certificate is in newcert.pem <BR>

<BR><BR><font size=-2></font>

[Jacques-]

Je ne me souviens plus exactement où c'est sur le disque, dans /etc/???/cert quelque chose, enfin le répertoire de travail de openssl. <BR>Il y a un ensemble de fichiers contenant les certificats créés, ceux acceptés, et surtout un fichier contenant la valeur du compteur courant pour les fichiers créés. <BR>A priori ce compteur est erroné et devrait avoir au moins 1 de plus pour ne pas se facher, ou tu devrais détruire le certificat précédent. <BR> <BR>Donc, soit tu effaces tous les certificats (un peu risqué) soit tu mets à jour à la main (vive vi) le fichier contenant l'info et tu réessayes ensuite. <BR> <BR>Jacques

[Guepi]

Salut ! <BR> <BR>Ce fichier se nomme serial ; <BR>il se trouve dans le répertoire /usr/lib/ssl/misc/CAcert/ <BR> <BR>Cependant, j'ai résolu le problème en faisant ainsi : suppression du dossier CAcert/ <BR>et création d'un nouveau CA. <BR> <BR> <IMG SRC="images/smiles/icon_wink.gif">

[frenk]

C' ou q'on peux trouver la doc en question ? <IMG SRC="images/smiles/icon_confused.gif">

[Guepi]

Sous couvert d'une réponse d'Eric Faure ( utilisateur louis sur Ixus): <BR> <BR>Pour installer un VPN : <!-- BBCode u2 Start --><A HREF="http://www.fnt.fr/intra/Download/vpn1-02.pdf" TARGET="_blank">Document pour le paramétrage d'un VPN sur un MNF</A><!-- BBCode u2 End --> <!-- BBCode auto-link start --><a href="http://www.fnt.fr/intra/Download/vpn1-02.pdf" target="_blank">http://www.fnt.fr/intra/Download/vpn1-02.pdf</a><!-- BBCode auto-link end --> <BR> <BR>A noter qu'il y a des choses à modifier : <BR>- page 8, 9 et suivantes : pour accéder au script CA.sh il faut faire avant : <BR>

Code: Tout sélectionner

  cd misc/

<BR>- page 12 : pour la génération du certificat client Windows, à la fin du paragraphe 8, le nom du fichier est faux : il faut lire : newreq.pem et non newcert.pem <BR>- page 12 : pour la génération du certificat client Windows, à la fin du paragraphe 9, le nom du fichier est faux : il faut lire : newcert.pem et non newreq.pem <BR> <BR>pour pouvoir mettre à jour son MNF depusi l'interface web : <BR><!-- BBCode u2 Start --><A HREF="http://www.fnt.fr/intra/Download/maj1-01.pdf" TARGET="_blank">Mettre à jour son MNF</A><!-- BBCode u2 End --> <BR><!-- BBCode auto-link start --><a href="http://www.fnt.fr/intra/Download/maj1-01.pdf" target="_blank">http://www.fnt.fr/intra/Download/maj1-01.pdf</a><!-- BBCode auto-link end --> <BR><BR><BR><font size=-2></font>