Fichiers certificat

Fermé
rahmaiyed123 Messages postés 82 Date d'inscription mercredi 11 février 2015 Statut Membre Dernière intervention 4 décembre 2015 - 24 avril 2015 à 00:36
mamiemando Messages postés 33158 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 21 juin 2024 - 26 avril 2015 à 23:40
Bonjour,

J'installe actuellement un serveur radius, je voudrais générer des certificats.
Pour ce faire, j'ai installé OpenSSL et je dois générer le certificat root, dans une doc ils disent qu'il faut copier les fichiers CA.clt, CA.root, CA.srv et xpextensions dans /root/certs. Mais où trouver ces fichiers ?

A voir également:

1 réponse

mamiemando Messages postés 33158 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 21 juin 2024 7 760
24 avril 2015 à 08:57
Tu as un exemple détaillé ici :
https://wiki.debian.org/Self-Signed_Certificate

Bonne chance
0
rahmaiyed123 Messages postés 82 Date d'inscription mercredi 11 février 2015 Statut Membre Dernière intervention 4 décembre 2015
24 avril 2015 à 10:55
mais je peux pas créer dans cette exemple qui me donne un certificat pour le serveur et cetificat pour le client etc puisque nous avons besoin de l'authentification par le serveur radius
0
mamiemando Messages postés 33158 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 21 juin 2024 7 760
25 avril 2015 à 21:49
J'avoue ne pas très bien comprendre d'où sortent ces certificats, mais beaucoup font référence à :
http://web.archive.org/web/20180716153148/http://www.nantes-wireless.org/actu/actu/IMG/txt

... notament :
http://juliper.free.fr/radius/etape2.html
https://forums.commentcamarche.net/forum/affich-16789452-fichiers-de-certificats-openssl

D'après ce qui est dit ici tu as des scripts installé avec freeradius pour les générer :
https://forums.commentcamarche.net/forum/affich-16789452-fichiers-de-certificats-openssl

Mais je pense que tu peux aussi générer par tes propres moyens ces fameux certificats, sans avoir à passer par les fichiers fourni par un tiers (cf openssl).

mais je peux pas créer dans cette exemple qui me donne un certificat pour le serveur et cetificat pour le client etc puisque nous avons besoin de l'authentification par le serveur radius

Je ne connais pas freeradius mais je ne comprends pas ce que tu veux dire. Qu'est ce qui t'empêche de générer des certificats pour le client et pour le serveur ?
https://dst.lbl.gov/~boverhof/openssl_certs.html

Sinon un autre tutoriel qui semble basé sur les fichiers que tu évoques :
http://manmoahn-openssl-net.blogspot.com/2011/07/creating-serverclient-certificate-pair.html

Bonne chance
0
rahmaiyed123 Messages postés 82 Date d'inscription mercredi 11 février 2015 Statut Membre Dernière intervention 4 décembre 2015 > mamiemando Messages postés 33158 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 21 juin 2024
26 avril 2015 à 13:19
merci pour la réponse et je télécharge les fichiers de cette page http://juliper.free.fr/radius/etape2.html mais le fichier CA.root et CA.clt et CA.svr ne s'ouvre pas
0
mamiemando Messages postés 33158 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 21 juin 2024 7 760
26 avril 2015 à 23:40
Pour moi CA.root correspond à un certificat root. Il est produit par une autorité de certification. Je ne suis pas sûr que ça ait du sens dans ton cas mais j'espère que ma réponse n'est pas à côté de la plaque. Je m'explique.

Théorie

Un certificat C1 permet de signer un autre certificat C2. De même C2 peut signer C3 et ainsi de suite. Signer un autre certificat se fait via une clé privée. Vérifier que C1 a signé C2 se fait grâce à la clé publique associée à C1.

Sur ton système un certain nombre de certificats sont préinstallés. Ils correspondent à des autorités réputées de confiance (verisign etc...), qui ont elles-mêmes validés des sites bien connues (par exemple le site de la sncf). Par cette chaîne de confiance, ton navigateur parvient ainsi à établir que le site de la sncf est un site de confiance.

Mais pour que verisign (mettons que ce soit eux) signe le certificat de la sncf, la sncf a acheté un certificat (signé par cette autorité). Maintenant tu as sans doute vu beaucoup de sites https pour lesquels ont te dit que le certificat n'a pu être validé (ce qui peut signifier que quelqu'un d'autre se fait passer pour le site que tu visites, ou plus probablement parce que ce site n'a pas un certificat signé par l'une des autorités présente sur ton système).

En soit rien n'empêche de créer son propre root certificat (qui ne sera signé par personne, a par lui même).
https://tldp.org/HOWTO/SSL-Certificates-HOWTO/x160.html

Dans ce cas on parle de self-signed certificat. Ce certificat peut être utilisé pour signer d'autres certificats en cascade. Si ce self-sligned certificate a été spécifié "de confiance" au système, alors ceux qui en découlent le seront aussi.
https://askubuntu.com/questions/73287/how-do-i-install-a-root-certificate

Retour à ton problème

Sauf mauvaise compréhension moi tu es plus dans ce second cas de figure. J'essaierais donc de créer un self signed certificat avec openssl.

Ici tu t'apprêtais à récupérer le certificat d'une autorité qui n'a pas forcément de lien avec ce que tu fais.

Bonne chance
0