Bonjour,
Je souhaite protéger l'acces a une page web en fournissant aux clients des certificats pour remplacer le classique Utilisateur/MotDePasse.
Alors si je trouve pleins de tuto concernant la mise en https, je n'en ai trouvé aucun qui fonctionne pour ce que je souhaite faire.
Une idée ?
Merci
Salut,
si serveur apache, fait des recherches sur l'option :
SSLVerifyClient require
à mettre dans le virtualhost en https
o_O
Merci pour ta réponse mais ... comment je génère le certificat a mettre dans le navigateur ?
J'ai généré le certificat d'apache par un classique :
Code:openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout gnagna.key -out gnagna.crt
le fichier certificat .crt, sur le poste client bouton droit -> installer le certificat -> à mettre dans autorités de certification racine de confiance
o_O
à priori c'est mieux de générer un fichier .p12 pour .pfx pour le poste client
openssl pkcs12 -export -inkey gnagna.key -in gnagna.crt -out certificat.p12
o_O
Ok merci.
Il ne me reste plus qu'a essayer
Salut,
J'avais fait ça à une époque pour mettre un peu plus de sécurité sur un des sites web de ma boite
Ce sont les notes que j'avais prises et que j'ai gardées quand ça a marché.
Je me suis inspiré de ce site :
http://avianey.blogspot.fr/2012/03/s...apache-ca.html
Pour la crétion des certificats :
Modifier le fichier de config apache pour la prise en compte des certificatsCode:# Génération de la clé privée de l'autorité de certification openssl genrsa -out ca.key 2048 -config /etc/ssl/openssl.cnf # Créer la demande de signature openssl req -new -key ./ca.key -out ./ca.csr -subj "/C=FR/ST=France/L=remplir_valeur/O=remplir_valeur/OU=remplir_valeur/CN=remplir_valeur" # Créer le certificat de l'autorité de certification à partir de sa clé privée openssl x509 -extensions v3_ca -req -days 3650 -in ./ca.csr -out ./ca.crt -signkey ./ca.key -extfile /etc/ssl/openssl.cnf # Extraire la clé publique à partir de la clé privée openssl rsa -in ca.key -pubout -out ca.public.key # Certificat serveur # Créer la clé privée du serveur openssl genrsa -des3 -out server.key 2048 # Créer la demande de signature openssl req -new -key ./server.key -out server.csr -subj "/C=FR/ST=France/L=remplir_valeur/O=remplir_valeur/OU=remplir_valeur/CN=remplir_valeur" # Créer le certificat du serveur à partir de sa clé privée openssl x509 -extensions v3_ca -req -in ./server.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out ./server.crt -days 3650 # Créer un certificat pkcs12 openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "Certificat serveur" # Extraire la clé publique openssl rsa -in server.key -passin pass:mot_de_passe -pubout -out server.public.key # Créer une autre version de la clé privée sans passphrase openssl rsa -in server.key -out server.nopassphrase.key -passin pass:mot_de_passe # Certificat client # Créer la clé privée du client openssl genrsa -des3 -out client.key 2048 # Créer la demande de signature openssl req -new -key ./client.key -out client.csr -subj "/C=FR/ST=France/L=remplir_valeur/O=remplir_valeur/OU=remplir_valeur/CN=remplir_valeur" # Créer le certificat openssl x509 -extensions v3_ca -req -in ./client.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out ./client.crt -days 3650 # Créer le certificat en PKCS12 openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name "remplir_valeur" # Créer la clé publique à partir de la clé publique openssl rsa -in client.key -passin pass:mot_de_passe -pubout -out client.public.key
N'oublie pas de désactiver le http standard sinon, ça ne sert à rien
En cas d'erreur, regarde les logs
Ensuite, lorsque tu va accéder à ton site, tu aura cette erreur (testé sur Firefox):
C'est normal, tu aura ça tant que tu n'aura pas installé le certificat dans le navigateurCode:SSL_ERROR_HANDSHAKE_FAILURE_ALERT
Pour mettre le certificat dans Firefox :
Allez dans les paramètres->Avancé->Certificats->Afficher les certificats
Onglet Vos certificats->Importer...
Choisir le fichier client.p12
Puis saisir la passphrase qui a servi à créer le certificat client
A+
Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur
Bonjour,
J'ai pu a nouveau passer un peu de temps sur ce projet (d'où les delais
sauf que les lignes de commandes ne sont plus valable avec ma version d'OpenSSL : je ne sais plus laquelle exactement, mais il y a une option qui a été dépréciée.Envoyé par quentin08
Bref, j'ai donc suivit :
et importé le certificats dans Firefox.
Ce dernier me fait toujours une erreur lorsque j'essaie d'accédé à ma page :
J'imagine qu'il faut que j'ajoute aussi dans FF mon CA ?Une erreur est survenue pendant une connexion à destroyedlolo.info:8443. Le pair ne reconnaît pas l’autorité de certification qui a délivré votre certificat et ne lui fait pas confiance. Code d’erreur : SSL_ERROR_UNKNOWN_CA_ALERT
C'est le .key, le .crt ou faut-il que je regénère quelque chose ?
Merci
Salut,
Pour l'erreur SSL_ERROR_UNKNOWN_CA_ALERT, je ne connais pas assez bien OpenSSL pour répondre
Je me souviens avoir eu un warning de Firefox comme quoi la version ou type de certificat était obsolète, j'ai corrigé ça dans les commandes que j'ai mises plus haut.
Il me semble que c'est -extensions v3_ca car sur le lien où je me suis inspiré, je ne retrouve pas cette option, c'est moi qui l'ai ajouté après
Ce warning n’empêchait pas l'accès au site
Non, il ne faut importer que le .p12
Il va te demander la passphrase, celle que tu as choisi à la création des certificats
A+
Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur
Salut,
Ben j'ai essayé avec tes commandes ... et j'obtiens le même résultat. Arg
Bref, les investigations continuent ...
A+
