14/03/2006 @ 16:00:07: Poire: Authentification SSL client/serveur
Bonjour
Le but : identifier un utilisateur par certificat, c'est à dire qu'uniquement les utilisateurs avec un certificat que je leur aurai donné pourront se connecter au serveur web.
Serveur web : IIS
J'ai déjà fait un certificat pour le serveur web avec OpenSSL et je l'ai intégré.
Donc maintenant je peux me connecter en https à mon site et ça marche niquel.
Mais maintenant comment faire pour que ça roule quand j'active dans IIS l'option 'exiger les certificats clients' ?
Lorsque c'est activé, personne ne peut se connecter
Comment créer le certif client qui va bien avec OpenSSL ?
Merci
14/03/2006 @ 16:06:28: rfr: Authentification SSL client/serveur
Ben il te faut faire une authorité de certification.
Pour cela, openssl x509 est effectivement ton ami.
Ensuite, tu dois générer des certificate request et signer tes certificats par l'authorité de certification.
Je te suggère d'aller faire un tour du coté de OpenVPN qui intègre des scripts qui permettent de faire ça. Ou alors tu as les frontend du genre OpenCA ou autres ...
14/03/2006 @ 16:36:08: philfr: Authentification SSL client/serveur
tinyCA est un frontend simplissime en Perl. Tu crées ton CA, tes requêtes, tu les signes, les exportes en PEM ou DER, et tu gères la revocation list.
Sinon, c'est openssl req avec plein d'options pour créer la requête, puis x509 pour la signer.
14/03/2006 @ 16:50:30: Poire: Authentification SSL client/serveur
Alors j'ai déjà mon authorité de certif
openssl genrsa -des3 -out IIS\CA.key 1024
openssl req -new -key IIS\CA.key -x509 -days 1095 -out IIS\CA.crt
Et j'ai signé mon certificat pour le serveur :
openssl x509 -req -days 365 -in IIS\new.csr -CA CA.crt -CAkey IIS\CA.key -CAcreateserial -out IIS\new.crt
Après comment je fais pour faire un certif pour le client ?
14/03/2006 @ 17:11:55: philfr: Authentification SSL client/serveur
Comme pour le serveur...
14/03/2006 @ 17:11:59: Poire: Authentification SSL client/serveur
tinyCA est un frontend simplissime en Perl. Tu crées ton CA, tes requêtes, tu les signes, les exportes en PEM ou DER, et tu gères la revocation list.
Sinon, c'est openssl req avec plein d'options pour créer la requête, puis x509 pour la signer.
Je suis sous windows hein
14/03/2006 @ 17:12:55: Poire: Authentification SSL client/serveur
Pour le serveur j'ai une demande de certificat de IIS que je signe avec OpenSSL
Mais pour le client je signe quoi ???
14/03/2006 @ 18:30:30: philfr: Authentification SSL client/serveur
Je suis sous windows hein
Et tu n'as même pas accès à une machine linux pour faire tes certificats ?
Mon pauvre vieux...
HOWTO général ici:
http://www.gagravarr.org/writing/openssl-certs/14/03/2006 @ 19:08:40: Poire: Authentification SSL client/serveur
ça me manque pas
merci je vais regarder ça ce soir ou demain
15/03/2006 @ 10:16:51: philfr: Authentification SSL client/serveur
ça me manque pas
Ben, tu vois bien que si, puisque tu n'as toujours pas tes certificats...
15/03/2006 @ 10:29:39: Poire: Authentification SSL client/serveur
ça marche tjs pas
J'ai bien tout suivi, mais IE veut pas bouffer mon certif client
openssl genrsa -des3 -out IIS\client.key
openssl req -new -key IIS\client.key -out IIS\client.csr
openssl x509 -req -days 365 -in IIS\client.csr -CA IIS\CA.crt -CAkey IIS\CA.key -CAcreateserial -out IIS\client.crt
15/03/2006 @ 10:55:48: Jean-Christophe: Authentification SSL client/serveur
Et pourquoi tu n'utilises pas le CA du serveur windows pour créer et distribuer tes certificats?
15/03/2006 @ 11:05:07: Poire: Authentification SSL client/serveur
par ce que
je suis sur windows 2000 pro....
15/03/2006 @ 11:20:01: Jean-Christophe: Authentification SSL client/serveur
ah...
15/03/2006 @ 12:03:07: philfr: Authentification SSL client/serveur
Ton browser a besoin d'un certificat et de la clé privée qui va avec.
Si tu essaies juste d'importer le certificat ça ne peut pas marcher.
Avec openssl pkcs12, tu peux combiner le certificat et la clé privée, encrypter le tout avec un password, et l'importer dans un browser.
15/03/2006 @ 13:47:43: Poire: Authentification SSL client/serveur
genre ça :
openssl pkcs12 -export -in IIS\client.crt -inkey IIS\client.key -out IIS\client2.p12
dans ce cas, le navigateur bouffe bien le certif client2.p12 mais, je me fais jetter quand même par le site
Cette page requiert un certificat client
La page que vous essayez d'afficher nécessite l'utilisation d'un certificat client.
--------------------------------------------------------------------------------
Essayez les opérations suivantes :
Cliquez sur le bouton Actualiser pour réessayer si vous avez installé votre certificat client.
Si vous pensez que vous devez pouvoir afficher ce répertoire ou cette page, contactez l'administrateur de sites Web en utilisant l'adresse électronique ou le numéro de téléphone mentionnés dans la sylvain page d'accueil.
HTTP 403.7 – Interdit : Certificat client requis
Services Internet (IIS)
--------------------------------------------------------------------------------
Informations techniques (destinées au personnel du Support technique)
Contexte :
Cette erreur est générée lorsque la ressource à laquelle vous tentez d'accéder nécessite que votre navigateur possède un certificat client SSL (Secure Sockets Layer) reconnu par le serveur.
Informations complémentaires :
Support technique Microsoft
15/03/2006 @ 15:20:37: philfr: Authentification SSL client/serveur
Je suppose que le CA qui signe ton certificat est connu et accepté par ton serveur...
(chez toi IIS/CA.crt)
Je ne conais pas IIS, mais il doit avoir ce certificat CA quelque part pour vérifier le certificat client.
15/03/2006 @ 16:02:40: Poire: Authentification SSL client/serveur
IIS a le certificat client.crt créé plus haut
Il manque qq chose ?
15/03/2006 @ 16:58:22: philfr: Authentification SSL client/serveur
Le certificat CA.crt je crois...
16/03/2006 @ 16:47:28: Poire: Authentification SSL client/serveur
ça je sais pas le faire bouffer à IIS