Comment créer un certificat de securité valide ?

Ici, on discute de l'anonymat et de la préservation des données personnelles sur le net. Il est également question de crypographie puisque ce domaine est étroitement liée au sujet.

Modérateur: modos Ixus

Messagepar Mad_Man » 12 Sep 2003 23:17

Je voudrais savoir pourquoi lorsque l'on accède à l'interface 'secure' (https://@ipcop:445) de IpCop a partir d'un navigateur web (ie6) on obtient toujours un message d'avertissement : <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR><!-- BBCode Start --><B>'Alerte de sécurité'</B><!-- BBCode End --> <BR>les informations que vous échangez avec ce site ne peuvent pas être consultées ou modifiées par d'autres utilisateurs. Cependant, un problème concernant le certificat de sécurité de ce site à été dectecté. <BR> <BR>- Le certificat de sécurité a été par une société à laquelle vous n'avez pas choisis de faire confiance. <BR>- La date du certificat de sécurité n'est pas valide. <BR>- Le nom sur le certificat de sécurité est non valide ou ne correspond pas au nom de ce site. <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Si j'essaye d'installer ce certificat, à la connexion suivante j'ai de nouveau le même message. <BR>Quelqu'un pourrait-il m'expliquer comment générer un certificat valide ou bien comment faire pour que je puisse enregistrer un certificat OK. Je sais pas ou je pêche là... <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Merci d'avance
Avatar de l’utilisateur
Mad_Man
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 260
Inscrit le: 21 Mai 2002 00:00
Localisation: Alès

Messagepar Mad_Man » 13 Sep 2003 12:06

Et hop un petit post pour faire remonter... <BR>Alors, personne a d'idées ??
Avatar de l’utilisateur
Mad_Man
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 260
Inscrit le: 21 Mai 2002 00:00
Localisation: Alès

Messagepar Athanase » 17 Sep 2003 09:51

Ben écoute, tu as la réponse dans ce que t'affiche Internet Explorer <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>En effet, tout navigateur qui se respecte fait quelques vérifications sur le certificat X-509 qui lui est présenté par le serveur auquel il se connecte en HTTPS. <BR> <BR>Les verifications de base qui sont faites sont les suivantes: <BR> <BR>- autorité de certification: le certificat présenté par le serveur doit avoir été signé par une autorité de certification à laquelle le navigateur fait confiance. Une autorité est considéré par le navigateur comme étant une autorité de confiance si son certifcat racine est stockée dans ton navigateur. En réalité, le navigateur doit vérifié la chaîne complète de certification (certification path). <BR> <BR>- date de validité: un certificat X-509 contient une date de validité. Si la date de validité est antérieur à la date actuelle, le certificat a expiré et ne doit plus être considéré comme sûr. <BR> <BR>- nom du site: un certificat Serveur X-509 contient normalement l'URL correspondant au site qu'il protège. Par exemple, si tu te connectes au site mail.athanase.org en HTTPS, tu trouveras dans le certificat serveur un champ Subject qui doit contenir le common name suivant CN=mail.athanase.org. <BR> <BR>Si ton navigateur est vraiment bien, il utilise les champs optionnels du certificats pour aller consulter la CRL (Certificate Revocation List) de l'autorité de certification qui a signé le certificat pour vérifié que le certificat serveur qui t'ai présenté n'a pas été révoqué. <BR> <BR>Donc, dans ton cas, tu peux vite identifier ce qui cloche puisque IE met une icône verte devant ce qui a été correctement validé et une icône jaune devant ce qu'il n'a pas pu vérifier. <BR> <BR>A priori, tu dois avoir deux flèches jaunes qui correspondent à la ligne sur l'autorité de certification et à la ligne sur le nom du site. <BR>En effet, comme ton certificat a du être créé à l'installation du programme, il a du être auto-signé (signé avec la même clé privé correspondant à la clé publique contenue dans le certificat). A priori, le seul moyen de le faire reconnaître par IE est de le mettre dans le répertoire "Trusted Peolple" de ton certificate repository (accessible via le snap-in "certificates" dans la MMC sous 2000 et XP. Mais là encore, il te fera une alerte puisque l'URL que tu utilise pour te connecter au site ne correspondra pas celle qui est stockée dans le certificat. <BR> <BR>Voilà, j'espère que ma réponse te paraît claire.
Avatar de l’utilisateur
Athanase
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 28 Juin 2002 00:00

Messagepar Mad_Man » 17 Sep 2003 11:34

Merci pour ton aide, ca m'a en effet grandement aidé. J'ai enfin réussi a virer ce message en : <BR> <BR>- installant le certificat de sécurité délivré grace à MMC dans le répertoire 'Autorité de certification racine de confiance'. <BR>- Indiquant dans mon fichier 'hosts' le nom complet du système adressé avec son ip <BR> <BR>Puis par mon navigateur (IE) j'appelle : <BR> <BR><!-- BBCode auto-link start --><a href="https://nom_du_systeme_complet:445" target="_blank">https://nom_du_systeme_complet:445</a><!-- BBCode auto-link end --> <BR> <BR>Et là ca marche. <BR>On peut eviter de renseigner le nom du systeme dans le fichier Host si on dispose d'un serveur DNS interne, mais j'en ai pas.. <BR> <BR>Merci pour tout Athanase<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Mad_Man
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 260
Inscrit le: 21 Mai 2002 00:00
Localisation: Alès

Messagepar Athanase » 17 Sep 2003 17:04

De rien, ça fait toujours plaisir d'aider <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
Athanase
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 28 Juin 2002 00:00

Messagepar steve » 23 Oct 2003 08:23

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-17 09:51, Athanase a écrit: <BR>Ben écoute, tu as la réponse dans ce que t'affiche Internet Explorer <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>En effet, tout navigateur qui se respecte fait quelques vérifications sur le certificat X-509 qui lui est présenté par le serveur auquel il se connecte en HTTPS. <BR> <BR>Les verifications de base qui sont faites sont les suivantes: <BR> <BR>- autorité de certification: le certificat présenté par le serveur doit avoir été signé par une autorité de certification à laquelle le navigateur fait confiance. Une autorité est considéré par le navigateur comme étant une autorité de confiance si son certifcat racine est stockée dans ton navigateur. En réalité, le navigateur doit vérifié la chaîne complète de certification (certification path). <BR> <BR>- date de validité: un certificat X-509 contient une date de validité. Si la date de validité est antérieur à la date actuelle, le certificat a expiré et ne doit plus être considéré comme sûr. <BR> <BR>- nom du site: un certificat Serveur X-509 contient normalement l'URL correspondant au site qu'il protège. Par exemple, si tu te connectes au site mail.athanase.org en HTTPS, tu trouveras dans le certificat serveur un champ Subject qui doit contenir le common name suivant CN=mail.athanase.org. <BR> <BR>Si ton navigateur est vraiment bien, il utilise les champs optionnels du certificats pour aller consulter la CRL (Certificate Revocation List) de l'autorité de certification qui a signé le certificat pour vérifié que le certificat serveur qui t'ai présenté n'a pas été révoqué. <BR> <BR>Donc, dans ton cas, tu peux vite identifier ce qui cloche puisque IE met une icône verte devant ce qui a été correctement validé et une icône jaune devant ce qu'il n'a pas pu vérifier. <BR> <BR>A priori, tu dois avoir deux flèches jaunes qui correspondent à la ligne sur l'autorité de certification et à la ligne sur le nom du site. <BR>En effet, comme ton certificat a du être créé à l'installation du programme, il a du être auto-signé (signé avec la même clé privé correspondant à la clé publique contenue dans le certificat). A priori, le seul moyen de le faire reconnaître par IE est de le mettre dans le répertoire "Trusted Peolple" de ton certificate repository (accessible via le snap-in "certificates" dans la MMC sous 2000 et XP. Mais là encore, il te fera une alerte puisque l'URL que tu utilise pour te connecter au site ne correspondra pas celle qui est stockée dans le certificat. <BR> <BR>Voilà, j'espère que ma réponse te paraît claire. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <IMG SRC="images/smiles/icon_bawling.gif"> stp est ce que tu peut me donner plus clairement car j'ai le meme probleme <BR>
lama
Avatar de l’utilisateur
steve
Matelot
Matelot
 
Messages: 1
Inscrit le: 23 Oct 2003 00:00

Messagepar Athanase » 31 Oct 2003 12:43

Ben dis moi ce que tu n'as pas compris parceque sérieusement lorsque je me relis, je trouve que j'ai à peu près bien expliqué comment fonctionnait la validation des certificats X509 par un browser.
Avatar de l’utilisateur
Athanase
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 28 Juin 2002 00:00

Certificat de sécurité sous IE6

Messagepar mike1503fr » 13 Jan 2006 16:22

Bonjour,

Merci pour la solution car j'avais le même soucis.

Par contre, peux tu m'expliquer pourquoi cela ne fonctionne pas si, plutôt que d'importer le certificat avec la console MMC des certificats, on importe à partir de IE6 le même certificat dans la liste des autorités principales de confiance ? :shock:

Merci d'avance pour votre réponse.
mike1503fr
Matelot
Matelot
 
Messages: 1
Inscrit le: 13 Jan 2006 16:15


Retour vers Confidentialité et Cryptographie

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité