Se connecter
Inscription
Mot de passe perdu
Supprimer un message
Un certificat est un "document électronique" qui lie une clé cryptographique à une identité.
Pour faire de la crypto (cryptage et signature), il te faut une clé. Plus exactement, une paire de clés: une partie est privée, t'appartient et n'est jamais divulguée à personne, et une partie est publique et tu peux la publier par exemple sur un site web.
La partie publique permet à n'importe qui de crypter un document que toi seul pourra décrypter avec ta clé privée.
Et cette même clé privée te permet à toi seul de signer un document que tout le monde pourra vérifier à l'aide de ta clé publique.
Le problème est: comment assurer qu'une clé publique appartient bien à qui l'on croit qu'elle appartient. Pour cela, on fait confiance à une autorité supérieure (un CA ou certificate authority) pour signer un document attestant du lien entre une clé publique et son titulaire. Si tu vas sur un site en https, ce site t'envoie son certificat contenant sa clé publique et son nom de domaine, signé par un des CA reconnus nativement par ton browser.
Les CA sont particuliers, puisque leur certificat ne peut être signé par une autorité supérieure à eux
Donc un certificat de CA est "self-signed", c'est à dire signé par le CA lui-même.
On peut aussi avoir une chaîne de certificats: un CA signe un certificat d'une autorité habilitée à signer elle-même des certificats, qui signe ton certificat à toi...
Tous les systèmes cryptographiques basés sur ce système de certificats (X.509) on besoin d'un ou plusieurs certificats CA pour authentifier tous les autres certificats.
OpenVPN n'échappe pas à la règle. Mais tu ne dois pas forcément payer (parfois cher) un organisme CA pour obtenir tes certificats. Tu peux créer toi-même to CA et générer autant de certificats clients que tu veux, tu peux même utiliser des certificats self-signed pour chacun des participants au VPN si tu veux (mais c'est finalement moins simple).
Le couteau suisse de la crypto s'appelle openssl, et est nativement installé sur toute machine linux. Il est aussi porté sous windows. Avec lui, tu peux générer ton certificat CA, ainsi que les certificats des machines sur lesquelles tu veux installer OpenVPN.
Là je vais passer à table, pose les questions que tu veux, je reviens plus tard
Pour faire de la crypto (cryptage et signature), il te faut une clé. Plus exactement, une paire de clés: une partie est privée, t'appartient et n'est jamais divulguée à personne, et une partie est publique et tu peux la publier par exemple sur un site web.
La partie publique permet à n'importe qui de crypter un document que toi seul pourra décrypter avec ta clé privée.
Et cette même clé privée te permet à toi seul de signer un document que tout le monde pourra vérifier à l'aide de ta clé publique.
Le problème est: comment assurer qu'une clé publique appartient bien à qui l'on croit qu'elle appartient. Pour cela, on fait confiance à une autorité supérieure (un CA ou certificate authority) pour signer un document attestant du lien entre une clé publique et son titulaire. Si tu vas sur un site en https, ce site t'envoie son certificat contenant sa clé publique et son nom de domaine, signé par un des CA reconnus nativement par ton browser.
Les CA sont particuliers, puisque leur certificat ne peut être signé par une autorité supérieure à eux
Donc un certificat de CA est "self-signed", c'est à dire signé par le CA lui-même.
On peut aussi avoir une chaîne de certificats: un CA signe un certificat d'une autorité habilitée à signer elle-même des certificats, qui signe ton certificat à toi...
Tous les systèmes cryptographiques basés sur ce système de certificats (X.509) on besoin d'un ou plusieurs certificats CA pour authentifier tous les autres certificats.
OpenVPN n'échappe pas à la règle. Mais tu ne dois pas forcément payer (parfois cher) un organisme CA pour obtenir tes certificats. Tu peux créer toi-même to CA et générer autant de certificats clients que tu veux, tu peux même utiliser des certificats self-signed pour chacun des participants au VPN si tu veux (mais c'est finalement moins simple).
Le couteau suisse de la crypto s'appelle openssl, et est nativement installé sur toute machine linux. Il est aussi porté sous windows. Avec lui, tu peux générer ton certificat CA, ainsi que les certificats des machines sur lesquelles tu veux installer OpenVPN.
Là je vais passer à table, pose les questions que tu veux, je reviens plus tard
