Certification SSL payante????
Résolu/Fermé
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
-
5 mai 2010 à 18:03
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 - 6 mai 2010 à 23:32
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 - 6 mai 2010 à 23:32
5 réponses
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
5 mai 2010 à 18:13
5 mai 2010 à 18:13
Tu peux générer gratuitement un certificat sans problème.
Après il faut le faire signer.
Tu peux l'auto-signer, mais cela lèvera une alerte chez ceux qui viennent se connecter (et même une erreur avec des soft automatiques comme curl).
Il faut effectivement généralement payer pour faire signer son certificat par une autorité de certification (Thawte, VeriSign et autres).
Il me semble qu'il est possible de faire signer gratuitement ses certificats chez quelques CA, à voir.
Après il faut le faire signer.
Tu peux l'auto-signer, mais cela lèvera une alerte chez ceux qui viennent se connecter (et même une erreur avec des soft automatiques comme curl).
Il faut effectivement généralement payer pour faire signer son certificat par une autorité de certification (Thawte, VeriSign et autres).
Il me semble qu'il est possible de faire signer gratuitement ses certificats chez quelques CA, à voir.
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
2
Modifié par duncan32 le 6/05/2010 à 09:32
Modifié par duncan32 le 6/05/2010 à 09:32
Et as tu un bon tuto à me conseiller pour générer un certificat?
(aaah les joies de l'apprentissage où on doute de tout!!!)
Et que penses tu de CACERT? ca a l'air gratis...ca fonctionne bien?
(aaah les joies de l'apprentissage où on doute de tout!!!)
Et que penses tu de CACERT? ca a l'air gratis...ca fonctionne bien?
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
6 mai 2010 à 09:43
6 mai 2010 à 09:43
Et hop...
http://wiki.vpslink.com/Configuring_vsftpd_for_secure_connections_%28TLS/SSL/SFTP%29
Je ne connais pas CACERT, mais c'est à essayer.
http://wiki.vpslink.com/Configuring_vsftpd_for_secure_connections_%28TLS/SSL/SFTP%29
Je ne connais pas CACERT, mais c'est à essayer.
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
2
6 mai 2010 à 14:02
6 mai 2010 à 14:02
merci c'est effectivement simple de générer des clés.
par contre au moment d'entrer le Common name (qui est apparemment le nom de domaine), dans le cas de mon serveur ftp je rentre quoi? :
-le nom du domaine local (ca me parait louche mais on ne sait on jamais!)
-le nom du domaine de l'entreprise type nomentreprise.fr
-une adresse ip...dns, adresse publique configurée pour le serveur ftp (qui est derrière un routeur/firewall)
si désormais je contacte un CA, je devrai lui envoyer mon .pem pour qu'il le valide?
par contre au moment d'entrer le Common name (qui est apparemment le nom de domaine), dans le cas de mon serveur ftp je rentre quoi? :
-le nom du domaine local (ca me parait louche mais on ne sait on jamais!)
-le nom du domaine de l'entreprise type nomentreprise.fr
-une adresse ip...dns, adresse publique configurée pour le serveur ftp (qui est derrière un routeur/firewall)
si désormais je contacte un CA, je devrai lui envoyer mon .pem pour qu'il le valide?
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
6 mai 2010 à 14:10
6 mai 2010 à 14:10
Dans le CN il faut obligatoireement entrer le nom publique qu'aura le serveur ftp.
(ftp.nomentreprise.fr ? files.nomentreprise.fr ? à vous de choisir... voit avec l'admin réseau ou ton responsable ce qui est prévu, car il faudra qu'il soit configuré dans les DNS de ton entreprise).
C'est le CSR qu'il faut faire signer (il est au format PEM, oui)
(ftp.nomentreprise.fr ? files.nomentreprise.fr ? à vous de choisir... voit avec l'admin réseau ou ton responsable ce qui est prévu, car il faudra qu'il soit configuré dans les DNS de ton entreprise).
C'est le CSR qu'il faut faire signer (il est au format PEM, oui)
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
2
Modifié par duncan32 le 6/05/2010 à 15:09
Modifié par duncan32 le 6/05/2010 à 15:09
si je veux un CN avec un nom explicite et non pas une adresse ip simple, il faut acheter un nom non? ma société a déjà un site web donc elle a du acheter un nom de domaine...puis-je réutiliser ce xxxxx.fr pour mon site ftp?
par curiosité, ce CN peut il être directement l'adresse ip publique prévue pour ce serveur ftp?
j'abuse un peu mais où faudrait il écrire cette dernière adresse dans le DNS (server 2003)?
par curiosité, ce CN peut il être directement l'adresse ip publique prévue pour ce serveur ftp?
j'abuse un peu mais où faudrait il écrire cette dernière adresse dans le DNS (server 2003)?
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
6 mai 2010 à 16:02
6 mai 2010 à 16:02
si je veux un CN avec un nom explicite et non pas une adresse ip simple, il faut acheter un nom non?
oui.
Mais si ta société possède déjà un nom de domaine, vous pouvez déclarer l'IP du serveur FTP comme un sous-domaine (et mettre ce sous-domaine dans le CN).
par curiosité, ce CN peut il être directement l'adresse ip publique prévue pour ce serveur ftp?
Ce n'est pas recommandé.
j'abuse un peu mais où faudrait il écrire cette dernière adresse dans le DNS (server 2003)?
Je ne connais pas la config DNS pour Windows Server, désolé.
oui.
Mais si ta société possède déjà un nom de domaine, vous pouvez déclarer l'IP du serveur FTP comme un sous-domaine (et mettre ce sous-domaine dans le CN).
par curiosité, ce CN peut il être directement l'adresse ip publique prévue pour ce serveur ftp?
Ce n'est pas recommandé.
j'abuse un peu mais où faudrait il écrire cette dernière adresse dans le DNS (server 2003)?
Je ne connais pas la config DNS pour Windows Server, désolé.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
2
6 mai 2010 à 17:08
6 mai 2010 à 17:08
ok, merci pour tous ces renseignements!
j'viens de voir ca...des avis?: http://cert.startcom.org/?lang=fr
j'viens de voir ca...des avis?: http://cert.startcom.org/?lang=fr
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
Modifié par sebsauvage le 6/05/2010 à 17:24
Modifié par sebsauvage le 6/05/2010 à 17:24
Ah tiens, StartCom fait effectivement partie des CA racine installés par défaut dans Firefox.
ça pourrait être une solution.
Sinon il me semble que Thawte (CA réputée) offrait pendant un temps la signature gratuites des certificats. J'ignore s'ils le font encore.
ça pourrait être une solution.
Sinon il me semble que Thawte (CA réputée) offrait pendant un temps la signature gratuites des certificats. J'ignore s'ils le font encore.
duncan32
Messages postés
44
Date d'inscription
vendredi 23 octobre 2009
Statut
Membre
Dernière intervention
13 décembre 2010
2
6 mai 2010 à 17:27
6 mai 2010 à 17:27
en lisant un peu, j'vois qu'une certification gratuite (mais est ce bien appliquable et légal pour une entreprise?) est en classe 1 ...est ce suffisant pour bien sécuriser des échanges de documents? parce que dès qu'on aborde une classe 2, on attaque le payant!!!!
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 662
6 mai 2010 à 23:32
6 mai 2010 à 23:32
La sécurisation des échanges (chiffrement) sera le même quelle que soit la classe, mais plus une classe est élevée plus on peut faire confiance dans la signature du certificat (car plus les vérification d'identité sont importantes... et le prix aussi).
Voilà l'utilisation habituelle des classes:
https://en.wikipedia.org/wiki/Public_key_certificate#Vendor_defined_classes
Voilà l'utilisation habituelle des classes:
https://en.wikipedia.org/wiki/Public_key_certificate#Vendor_defined_classes