Software » Authentification SSL client/serveur
Catégorie:  
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 16:00:07,
Par Poire
Bonjour

Le but : identifier un utilisateur par certificat, c'est à dire qu'uniquement les utilisateurs avec un certificat que je leur aurai donné pourront se connecter au serveur web.

Serveur web : IIS
J'ai déjà fait un certificat pour le serveur web avec OpenSSL et je l'ai intégré.
Donc maintenant je peux me connecter en https à mon site et ça marche niquel.

Mais maintenant comment faire pour que ça roule quand j'active dans IIS l'option 'exiger les certificats clients' ?
Lorsque c'est activé, personne ne peut se connecter :oh:
Comment créer le certif client qui va bien avec OpenSSL ?

Merci

:hellow:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 16:06:28,
Par rfr
Ben il te faut faire une authorité de certification.

Pour cela, openssl x509 est effectivement ton ami.

Ensuite, tu dois générer des certificate request et signer tes certificats par l'authorité de certification.

Je te suggère d'aller faire un tour du coté de OpenVPN qui intègre des scripts qui permettent de faire ça. Ou alors tu as les frontend du genre OpenCA ou autres ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 16:36:08,
Par philfr
tinyCA est un frontend simplissime en Perl. Tu crées ton CA, tes requêtes, tu les signes, les exportes en PEM ou DER, et tu gères la revocation list.

Sinon, c'est openssl req avec plein d'options pour créer la requête, puis x509 pour la signer.
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 16:50:30,
Par Poire
Alors j'ai déjà mon authorité de certif

openssl genrsa -des3 -out IIS\CA.key 1024
openssl req -new -key IIS\CA.key -x509 -days 1095 -out IIS\CA.crt


Et j'ai signé mon certificat pour le serveur :

openssl x509 -req -days 365 -in IIS\new.csr -CA CA.crt -CAkey IIS\CA.key -CAcreateserial -out IIS\new.crt


Après comment je fais pour faire un certif pour le client ? :sad:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 17:11:55,
Par philfr
Comme pour le serveur...
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 17:11:59,
Par Poire
tinyCA est un frontend simplissime en Perl. Tu crées ton CA, tes requêtes, tu les signes, les exportes en PEM ou DER, et tu gères la revocation list.

Sinon, c'est openssl req avec plein d'options pour créer la requête, puis x509 pour la signer.

Je suis sous windows hein :grin:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 17:12:55,
Par Poire
Comme pour le serveur...

Pour le serveur j'ai une demande de certificat de IIS que je signe avec OpenSSL
Mais pour le client je signe quoi ???
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 18:30:30,
Par philfr

Je suis sous windows hein :grin:

Et tu n'as même pas accès à une machine linux pour faire tes certificats ?
Mon pauvre vieux...

HOWTO général ici:
http://www.gagravarr.org/writing/openssl-certs/
   
Authentification SSL client/serveur
Publié le 14/03/2006 @ 19:08:40,
Par Poire

Et tu n'as même pas accès à une machine linux pour faire tes certificats ?
Mon pauvre vieux...

HOWTO général ici:
http://www.gagravarr.org/writing/openssl-certs/

ça me manque pas :topicalacon:

merci je vais regarder ça ce soir ou demain :zoubi:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 10:16:51,
Par philfr
ça me manque pas :topicalacon:


Ben, tu vois bien que si, puisque tu n'as toujours pas tes certificats...
:topicalacon:
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 10:29:39,
Par Poire
ça marche tjs pas :oh:
J'ai bien tout suivi, mais IE veut pas bouffer mon certif client :oh:

openssl genrsa -des3 -out IIS\client.key
openssl req -new -key IIS\client.key -out IIS\client.csr
openssl x509 -req -days 365 -in IIS\client.csr -CA IIS\CA.crt -CAkey IIS\CA.key -CAcreateserial -out IIS\client.crt
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 10:55:48,
Par Jean-Christophe
Et pourquoi tu n'utilises pas le CA du serveur windows pour créer et distribuer tes certificats?
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 11:05:07,
Par Poire
par ce que :oh:

je suis sur windows 2000 pro....
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 11:20:01,
Par Jean-Christophe
ah... :spamafote:
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 12:03:07,
Par philfr
Ton browser a besoin d'un certificat et de la clé privée qui va avec.
Si tu essaies juste d'importer le certificat ça ne peut pas marcher.

Avec openssl pkcs12, tu peux combiner le certificat et la clé privée, encrypter le tout avec un password, et l'importer dans un browser.


   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 13:47:43,
Par Poire
genre ça :

openssl pkcs12 -export -in IIS\client.crt -inkey IIS\client.key -out IIS\client2.p12


dans ce cas, le navigateur bouffe bien le certif client2.p12 mais, je me fais jetter quand même par le site :oh:


Cette page requiert un certificat client
La page que vous essayez d'afficher nécessite l'utilisation d'un certificat client.

--------------------------------------------------------------------------------

Essayez les opérations suivantes :

Cliquez sur le bouton Actualiser pour réessayer si vous avez installé votre certificat client.
Si vous pensez que vous devez pouvoir afficher ce répertoire ou cette page, contactez l'administrateur de sites Web en utilisant l'adresse électronique ou le numéro de téléphone mentionnés dans la sylvain page d'accueil.
HTTP 403.7 – Interdit : Certificat client requis
Services Internet (IIS)

--------------------------------------------------------------------------------

Informations techniques (destinées au personnel du Support technique)


Contexte :
Cette erreur est générée lorsque la ressource à laquelle vous tentez d'accéder nécessite que votre navigateur possède un certificat client SSL (Secure Sockets Layer) reconnu par le serveur.


Informations complémentaires :
Support technique Microsoft


:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 15:20:37,
Par philfr
Je suppose que le CA qui signe ton certificat est connu et accepté par ton serveur... :oh: (chez toi IIS/CA.crt)


Je ne conais pas IIS, mais il doit avoir ce certificat CA quelque part pour vérifier le certificat client.
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 16:02:40,
Par Poire
IIS a le certificat client.crt créé plus haut
Il manque qq chose ? :shy:
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
   
Authentification SSL client/serveur
Publié le 15/03/2006 @ 16:58:22,
Par philfr
Le certificat CA.crt je crois...
   
Authentification SSL client/serveur
Publié le 16/03/2006 @ 16:47:28,
Par Poire
ça je sais pas le faire bouffer à IIS :shy:

Dernière édition: 16/03/2006 @ 16:48:06
:topicalacon:
Je défendrai mes opinions jusqu'à ma mort, mais je donnerai ma vie pour que vous puissiez défendre les vôtres. (Voltaire)
Photos
Répondre - Catégorie:  
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?