Catégorie:  
   
Certificat
Publié le 12/12/2007 @ 18:36:04,
Par Jean-Christophe
Hello,

Est-ce que quelqu'un peu m'expliquer "comme à un môme" comment fonctionnent les fichier de certifica?

Je ne comprends rien à tout ca et j'en ai un peu besoin pour faire fonctionner OpenVPN.

Donc voilà, je ne sais pas du tout par où prendre le problème :spamafote:

Merci
   
Certificat
Publié le 12/12/2007 @ 19:04:34,
Par Ppxl
ah oui, j'ai aussi essayé d'essayer ce truc il y a deux jours. C'est chiant ce brol!
Rien compris (pour le moment) à comment faire la chose simplement (pour expliquer à qqn qui ne connait pas encore moins) à part chipoter dans 36 bidules pour faire aboutir la moindre chose.

As tu regardé le site de openvpn? Rien trouvé de probant?
   
Certificat
Publié le 12/12/2007 @ 19:27:19,
Par tkn6100
   
Certificat
Publié le 12/12/2007 @ 19:37:08,
Par max
j'ai Adélie sur les genoux, donc pas le temps de taper un rapport sur ce qu'est un CA,les signatures, certificats mais normalement, tu as un outil pour t'aider fourni avec openvpn (enfin je crois)
Trololo
   
Certificat
Publié le 12/12/2007 @ 19:38:53,
Par max
je confirme: regarde dans le repertoire easy-rsa
Trololo
   
Certificat
Publié le 12/12/2007 @ 19:45:37,
Par philfr
Un certificat est un "document électronique" qui lie une clé cryptographique à une identité.

Pour faire de la crypto (cryptage et signature), il te faut une clé. Plus exactement, une paire de clés: une partie est privée, t'appartient et n'est jamais divulguée à personne, et une partie est publique et tu peux la publier par exemple sur un site web.
La partie publique permet à n'importe qui de crypter un document que toi seul pourra décrypter avec ta clé privée.
Et cette même clé privée te permet à toi seul de signer un document que tout le monde pourra vérifier à l'aide de ta clé publique.

Le problème est: comment assurer qu'une clé publique appartient bien à qui l'on croit qu'elle appartient. Pour cela, on fait confiance à une autorité supérieure (un CA ou certificate authority) pour signer un document attestant du lien entre une clé publique et son titulaire. Si tu vas sur un site en https, ce site t'envoie son certificat contenant sa clé publique et son nom de domaine, signé par un des CA reconnus nativement par ton browser.

Les CA sont particuliers, puisque leur certificat ne peut être signé par une autorité supérieure à eux :oh:
Donc un certificat de CA est "self-signed", c'est à dire signé par le CA lui-même.
On peut aussi avoir une chaîne de certificats: un CA signe un certificat d'une autorité habilitée à signer elle-même des certificats, qui signe ton certificat à toi...

Tous les systèmes cryptographiques basés sur ce système de certificats (X.509) on besoin d'un ou plusieurs certificats CA pour authentifier tous les autres certificats.

OpenVPN n'échappe pas à la règle. Mais tu ne dois pas forcément payer (parfois cher) un organisme CA pour obtenir tes certificats. Tu peux créer toi-même to CA et générer autant de certificats clients que tu veux, tu peux même utiliser des certificats self-signed pour chacun des participants au VPN si tu veux (mais c'est finalement moins simple).

Le couteau suisse de la crypto s'appelle openssl, et est nativement installé sur toute machine linux. Il est aussi porté sous windows. Avec lui, tu peux générer ton certificat CA, ainsi que les certificats des machines sur lesquelles tu veux installer OpenVPN.

Là je vais passer à table, pose les questions que tu veux, je reviens plus tard :wink:
   
Certificat
Publié le 12/12/2007 @ 20:59:43,
Par Ppxl
par contre dans easy-rsa il ne met pas grand chose par défaut. L'outil intégré ne fait pas grand grand chose non plus ... en tout cas pas de quoi faire une config complète aisément et rapidement (à ce que j'ai cru comprendre c'est ce qui est espéré à juste titre).
   
Certificat
Publié le 13/12/2007 @ 09:02:29,
Par Jean-Christophe
Merci Max et Philfr

Donc, en gros, si je suis bien, il faut...
1. Créer un CA self-signed
2. Créer une clé privée
3. Créer une clé publique.

A quoi "ressemble" tout ca? C'est des fichiers?
   
Certificat
Publié le 13/12/2007 @ 09:26:56,
Par rfr
la génération des clés se fait en même temps que le certificat.

Tu as openssl?

Sinon c'est:

openssl req -x509 -days 365 -newkey rsa:2048 -out cert.pem -keyout privkey.pem

Ton vertificat est dans le fichier cert.pem et la clé est dans privkey.pem.

En fait, il faut voir un certificat comme un fichier contenant des info "textuelles" (pas tout à fait vrai mes bon) et ta clés publique.

L'ensemble est alors signée par une clé privée. La tienne en l'occurence.

Si x est un message (des infos à enrypter)
Si Kpv est une clé privée
Si Kpu est une clé publique
Si H(x) est une fonction de hashage à sens unique
Si S(Kpv,x) est une fonction de signature avec clé privée
Si E(Kpu,x) est une fonction de chiffrement avec clé publique (Note que, S(Kpv,x) est équivalent à E(Kpv,H(x)), mais on utilise une autre convention par clarté).
Si D(K,x) est une fonction de déchiffrement à clé publique/clé privée

Un certificat +/- = Info + Kpu + S(Kpv, Info + Kpu)

Vérifier un certificat, c'est simplement tester que:

Le résultat de S(Kpv, Info + Kpu) (notons le SIG) passé dans D, donc

D(Kpu, SIG) est égal à H(Info + Kpu)

Aussi simple que ça.

Dernière édition: 13/12/2007 @ 10:06:10
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
Certificat
Publié le 13/12/2007 @ 10:01:12,
Par kortenberg
Merci Max et Philfr

Donc, en gros, si je suis bien, il faut...
1. Créer un CA self-signed
2. Créer une clé privée
3. Créer une clé publique.

A quoi "ressemble" tout ca? C'est des fichiers?

Tous les fichiers utils pour le vpn sont indiqué dans "Generate the master Certificate Authority (CA) certificate & key" -> "Key Files" dans http://openvpn.net/howto.html



rfr> lui faire tomber ses certif après un ans, c'est dure comme traitement.
   
Certificat
Publié le 13/12/2007 @ 10:08:08,
Par rfr

rfr> lui faire tomber ses certif après un ans, c'est dure comme traitement.


Self-signed, pas de gestion des CRL, alors oui :ddr555:
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
   
Certificat
Publié le 13/12/2007 @ 10:52:47,
Par ovh
rfr> lui faire tomber ses certif après un ans, c'est dure comme traitement.

+1 moi je mets toujours -days 99999 :joce:
Je n'ai rien à voir avec www.ovh.com
Répondre - Catégorie:  
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?