Bonjour,
Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?
Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.
L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au besoin.
Merci :-)
# Probablement pas
Posté par gouttegd (site web personnel) . Évalué à 6.
Examine ton certificat (
openssl x509 -in ton_certificat.pem -noout -text) et regarde s’il contient une extensionX509v3 Basic Constraints: si elle contient la valeurCA:FALSE(c’est quasi-certainement le cas), ce certificat ne peut pas servir à en signer d’autres.[^] # Re: Probablement pas
Posté par gouttegd (site web personnel) . Évalué à 5. Dernière modification le 09 juin 2015 à 15:46.
En fait, la solution idéale à ton besoin serait un certificat te permettant d’être une sous-CA techniquement contrainte : un certificat autorisé à signer (et révoquer bien sûr) d’autres certificats, mais uniquement sur ton domaine (tu pourrais signer un certificat pour
sous.domaine.tld, mais pas pourwww.rienàvoir.tld— ou plus exactement, tu pourrais toujours, mais le certificat résultant ne serait pas considéré valide).Malheureusement, même si la possibilité existe (extension
X509v3 Name Constraint) et est d’ailleurs mentionné dans les documents du CA/Browser Forum, je me souviens n’avoir pas réussi à trouver d’autorité de certification proposant ce genre de certificat (en même temps, ce n’est pas vraiment leur intérêt…).[^] # Re: Probablement pas
Posté par NiKaro (site web personnel) . Évalué à 1.
Désolé je viens juste de voir les réponses, dommage qu'il n'y a pas de notifications mail (ou alors c'est moi qui les ai désactivé quelque part, je vais aller voir pour le coup).
Effectivement j'ai bien le CA:FALSE… dommage. Merci des réponses ! :-)
[^] # Re: Probablement pas
Posté par NiKaro (site web personnel) . Évalué à 1.
Tiens j'y pense, il faudrait peut-être voir du côté de chez LetsEncrypt s'ils envisagent d'activer cette option.
# je rebondis pour demander une précision
Posté par Graveen . Évalué à 1.
Bonjour,
J'ai actuellement de mon côté un sous-domaine toto.mondomaine.tld avec un certificat validé par Gandi (c'est un .fr).
Je souhaite acquérir *.mondomaine.tld, mais au vu de ce thread, cela ne signifiera pas forcément que tous mes sous-domaines soient valides (toto.mondomaine.tld, toto2.mondomaine.tld ne pourront pas utiliser la wildcard) ??
Enfin, thunderbird couine que mon certif est auto-signé: il est normalement signé par Gandi.
Cela signifie:
- que Gandi n'est pas une authorité de certification assez reconnue ?
- que je n'ai pas pris la bonne option et que je n'ai pas assez allongé pour avoir un bon certificat
- que je me suis planté lors de la configuration ?
Merci !
[^] # Re: je rebondis pour demander une précision
Posté par gouttegd (site web personnel) . Évalué à 2.
Si.
Ce que voulait faire NicolasK, et qui n’est presque certainement pas possible (sauf si son autorité de certification lui a donné un certificat avec une extension
X509v3 Basic Constraints CA:TRUE— ce qui arrive parfois involontairement), c’est pouvoir signer à volonté des certificats pour chacun de ses sous-domaines.Mais utiliser le même certificat wildcard pour tous les domaines reste bien sûr possible.
Gandi, pas forcément, mais Gandi est signée par Comodo, qui l’est généralement.
Possible. Gandi n’est apparemment pas dans la liste des CA reconnues par Thunderbird (en tout cas pas chez moi). Tu dois donc faire en sorte que ton serveur envoie le certificat de Gandi (qui techniquement est un certficat intermédiaire et non un certificat racine) en plus de ton propre certificat, afin que Thunderbird puisse remonter la chaîne de certification jusqu’à une racine qu’il connaît.
Comment faire ça dépend de ton logiciel serveur, mais souvent, il suffit de concaténer, dans un seul fichier PEM, ton propre certificat puis le (ou les) certificat(s) intermédiaire(s).
[^] # Re: je rebondis pour demander une précision
Posté par Graveen . Évalué à 2.
Merci :)
[^] # Re: je rebondis pour demander une précision
Posté par kna . Évalué à 1.
Si, simplement tu ne pourras que l'utiliser directement. Tu ne pourras pas utiliser ce certificat pour signer d'autres certificats.
L'erreur classique est l'oubli du certificat intermédiaire : une CA te fournit un certificat mais n'est pas directement reconnue par ton client, en revanche le certificat de la CA est lui-même signé par une CA qui est reconnue. Il faut alors que côté serveur tu présente les deux certificats finaux pour que le client voit la chaine de vérification. Je ne sais pas si c'est le cas pour Gandi.
# Exemples
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
Pour les exemples, inutile d'essayer de composer ses propres noms.de.domaine.bidon, au risque tomber sur des noms qui existent vraiment ou existeront peut-être et d'embêter leurs propriétaires. Il y a des noms d'exemples normalisés : example.com, example.net, example.edu, example.org et .example.
[^] # Re: Exemples
Posté par NiKaro (site web personnel) . Évalué à 1.
Je le saurais pour la prochaine fois, merci.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.