Comment créer un certificat de securité valide ?

[Mad_Man]

Je voudrais savoir pourquoi lorsque l'on accède à l'interface 'secure' (https://@ipcop:445) de IpCop a partir d'un navigateur web (ie6) on obtient toujours un message d'avertissement : <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR><!-- BBCode Start --><B>'Alerte de sécurité'</B><!-- BBCode End --> <BR>les informations que vous échangez avec ce site ne peuvent pas être consultées ou modifiées par d'autres utilisateurs. Cependant, un problème concernant le certificat de sécurité de ce site à été dectecté. <BR> <BR>- Le certificat de sécurité a été par une société à laquelle vous n'avez pas choisis de faire confiance. <BR>- La date du certificat de sécurité n'est pas valide. <BR>- Le nom sur le certificat de sécurité est non valide ou ne correspond pas au nom de ce site. <BR> </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Si j'essaye d'installer ce certificat, à la connexion suivante j'ai de nouveau le même message. <BR>Quelqu'un pourrait-il m'expliquer comment générer un certificat valide ou bien comment faire pour que je puisse enregistrer un certificat OK. Je sais pas ou je pêche là... <IMG SRC="images/smiles/icon_bawling.gif"> <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Merci d'avance

[Mad_Man]

Et hop un petit post pour faire remonter... <BR>Alors, personne a d'idées ??

[Athanase]

Ben écoute, tu as la réponse dans ce que t'affiche Internet Explorer <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>En effet, tout navigateur qui se respecte fait quelques vérifications sur le certificat X-509 qui lui est présenté par le serveur auquel il se connecte en HTTPS. <BR> <BR>Les verifications de base qui sont faites sont les suivantes: <BR> <BR>- autorité de certification: le certificat présenté par le serveur doit avoir été signé par une autorité de certification à laquelle le navigateur fait confiance. Une autorité est considéré par le navigateur comme étant une autorité de confiance si son certifcat racine est stockée dans ton navigateur. En réalité, le navigateur doit vérifié la chaîne complète de certification (certification path). <BR> <BR>- date de validité: un certificat X-509 contient une date de validité. Si la date de validité est antérieur à la date actuelle, le certificat a expiré et ne doit plus être considéré comme sûr. <BR> <BR>- nom du site: un certificat Serveur X-509 contient normalement l'URL correspondant au site qu'il protège. Par exemple, si tu te connectes au site mail.athanase.org en HTTPS, tu trouveras dans le certificat serveur un champ Subject qui doit contenir le common name suivant CN=mail.athanase.org. <BR> <BR>Si ton navigateur est vraiment bien, il utilise les champs optionnels du certificats pour aller consulter la CRL (Certificate Revocation List) de l'autorité de certification qui a signé le certificat pour vérifié que le certificat serveur qui t'ai présenté n'a pas été révoqué. <BR> <BR>Donc, dans ton cas, tu peux vite identifier ce qui cloche puisque IE met une icône verte devant ce qui a été correctement validé et une icône jaune devant ce qu'il n'a pas pu vérifier. <BR> <BR>A priori, tu dois avoir deux flèches jaunes qui correspondent à la ligne sur l'autorité de certification et à la ligne sur le nom du site. <BR>En effet, comme ton certificat a du être créé à l'installation du programme, il a du être auto-signé (signé avec la même clé privé correspondant à la clé publique contenue dans le certificat). A priori, le seul moyen de le faire reconnaître par IE est de le mettre dans le répertoire "Trusted Peolple" de ton certificate repository (accessible via le snap-in "certificates" dans la MMC sous 2000 et XP. Mais là encore, il te fera une alerte puisque l'URL que tu utilise pour te connecter au site ne correspondra pas celle qui est stockée dans le certificat. <BR> <BR>Voilà, j'espère que ma réponse te paraît claire.

[Mad_Man]

Merci pour ton aide, ca m'a en effet grandement aidé. J'ai enfin réussi a virer ce message en : <BR> <BR>- installant le certificat de sécurité délivré grace à MMC dans le répertoire 'Autorité de certification racine de confiance'. <BR>- Indiquant dans mon fichier 'hosts' le nom complet du système adressé avec son ip <BR> <BR>Puis par mon navigateur (IE) j'appelle : <BR> <BR><!-- BBCode auto-link start --><a href="https://nom_du_systeme_complet:445" target="_blank">https://nom_du_systeme_complet:445</a><!-- BBCode auto-link end --> <BR> <BR>Et là ca marche. <BR>On peut eviter de renseigner le nom du systeme dans le fichier Host si on dispose d'un serveur DNS interne, mais j'en ai pas.. <BR> <BR>Merci pour tout Athanase<BR><BR><font size=-2></font>

[Athanase]

De rien, ça fait toujours plaisir d'aider <IMG SRC="images/smiles/icon_biggrin.gif">

[steve]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-17 09:51, Athanase a écrit: <BR>Ben écoute, tu as la réponse dans ce que t'affiche Internet Explorer <IMG SRC="images/smiles/icon_biggrin.gif"> <BR>En effet, tout navigateur qui se respecte fait quelques vérifications sur le certificat X-509 qui lui est présenté par le serveur auquel il se connecte en HTTPS. <BR> <BR>Les verifications de base qui sont faites sont les suivantes: <BR> <BR>- autorité de certification: le certificat présenté par le serveur doit avoir été signé par une autorité de certification à laquelle le navigateur fait confiance. Une autorité est considéré par le navigateur comme étant une autorité de confiance si son certifcat racine est stockée dans ton navigateur. En réalité, le navigateur doit vérifié la chaîne complète de certification (certification path). <BR> <BR>- date de validité: un certificat X-509 contient une date de validité. Si la date de validité est antérieur à la date actuelle, le certificat a expiré et ne doit plus être considéré comme sûr. <BR> <BR>- nom du site: un certificat Serveur X-509 contient normalement l'URL correspondant au site qu'il protège. Par exemple, si tu te connectes au site mail.athanase.org en HTTPS, tu trouveras dans le certificat serveur un champ Subject qui doit contenir le common name suivant CN=mail.athanase.org. <BR> <BR>Si ton navigateur est vraiment bien, il utilise les champs optionnels du certificats pour aller consulter la CRL (Certificate Revocation List) de l'autorité de certification qui a signé le certificat pour vérifié que le certificat serveur qui t'ai présenté n'a pas été révoqué. <BR> <BR>Donc, dans ton cas, tu peux vite identifier ce qui cloche puisque IE met une icône verte devant ce qui a été correctement validé et une icône jaune devant ce qu'il n'a pas pu vérifier. <BR> <BR>A priori, tu dois avoir deux flèches jaunes qui correspondent à la ligne sur l'autorité de certification et à la ligne sur le nom du site. <BR>En effet, comme ton certificat a du être créé à l'installation du programme, il a du être auto-signé (signé avec la même clé privé correspondant à la clé publique contenue dans le certificat). A priori, le seul moyen de le faire reconnaître par IE est de le mettre dans le répertoire "Trusted Peolple" de ton certificate repository (accessible via le snap-in "certificates" dans la MMC sous 2000 et XP. Mais là encore, il te fera une alerte puisque l'URL que tu utilise pour te connecter au site ne correspondra pas celle qui est stockée dans le certificat. <BR> <BR>Voilà, j'espère que ma réponse te paraît claire. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <IMG SRC="images/smiles/icon_bawling.gif"> stp est ce que tu peut me donner plus clairement car j'ai le meme probleme <BR>

[Athanase]

Ben dis moi ce que tu n'as pas compris parceque sérieusement lorsque je me relis, je trouve que j'ai à peu près bien expliqué comment fonctionnait la validation des certificats X509 par un browser.

[mike1503fr]

Bonjour,

Merci pour la solution car j'avais le même soucis.

Par contre, peux tu m'expliquer pourquoi cela ne fonctionne pas si, plutôt que d'importer le certificat avec la console MMC des certificats, on importe à partir de IE6 le même certificat dans la liste des autorités principales de confiance ?

Merci d'avance pour votre réponse.