Authentification certificat client Résolu/Fermé

Question

Bonjour,

Je tente actuellement de configurer un serveur pour intégrer l'authentification par certificats.
J'ai obtenu un certificat serveur signé par un CA reconnu (GlobalSign), et je l'ai intégré au serveur.
Jusque là, tout va bien : le certificat est bien reconnu, la connexion en https n'affiche pas d'alertes.

Ensuite j'ai modifié le openssl.cnf pour vérifier les certificats clients lors de l'accès à certains dossiers :
<Directory "/path/to/dir">
SSLVerifyClient require
</Directory>
Puis j'ai généré un certificat client directement depuis le serveur :
- openssl genrsa -out client.key 1024
- openssl req -key client.key -new -out client.req
- openssl x509 -req -in client.req -CA server.crt -CAkey server.key -out client2.pem
- openssl pkcs12 -export -out client.pfx -inkey client.key -in client2.pem

Cependant, lorsque j'insère ce .pfx (ou .p12) dans mon magasin de certificats côté client, l'erreur ssl_error_handshake_failure_alert s'affiche toujours lors de l'accès à la page du dossier. Les heures et dates de mon poste sont bonnes, donc l'erreur ne vient pas de ça

Quelqu'un a-t-il une solution ou une piste de recherche ?

Merci

Requester · Answer

Après vérification auprès du CA reconnu, voici la réponse :
Un serveur ne peut pas signer de certificats clients s'il n'est pas une autorité de certification. Donc :
- soit devenir une autorité de certification (moyennant une grosse somme)
- soit acheter des certificats clients individuels (ce qui peut vite couter cher en fonction du nombre de clients)
- soit autosigner son certificat serveur

Authentification certificat client

1 réponse

Discussions similaires