Ajouter une autorité de certification (CA) à la libopenssl
Par M le dimanche 25 mars 2007, 18:45 - Technique - Lien permanent
OpenSSL est livré par défaut avec un trousseau de certificat d'autorité de certification connues (du style Verisign, GeoTrust, Equifax et Cie).
C'est embettant quand on a sa propre autorité de certification de ne pas pouvoir l'utiliser dans des programmes comme Subversion qui répond systématiquement que le certificat n'est pas reconnu...
Heureusement, ce n'est pas très compliqué de rajouter une autorité (à ses risques et périls!)
C'est embettant quand on a sa propre autorité de certification de ne pas pouvoir l'utiliser dans des programmes comme Subversion qui répond systématiquement que le certificat n'est pas reconnu...
Heureusement, ce n'est pas très compliqué de rajouter une autorité (à ses risques et périls!)
Sous UNIX, (preques) toutes les applis utilisent la libOpenSSL et presque aussi souvent sa liste d'autorité reconnu.
On va prendre l'exemple de Startcom :
On récupère le certificat de l'autorité au format PEM ( le plus souvent avec l'extension .crt).
On le copie dans le répertoire /etc/ssl/certs/, et on en prend compte :
La dernière commande crée un lien symbolique ayant pour nom le hash du fichier source et la même extension, ça permet à openSSL à trouver directement le bon certificat sans à avoir à scanner tout le répertoire.
On va prendre l'exemple de Startcom :
On récupère le certificat de l'autorité au format PEM ( le plus souvent avec l'extension .crt).
wget http://cert.startcom.org/ca.crt (il faut vérifier que le certificat télécharger est bien le certificat que l'on croit)On le copie dans le répertoire /etc/ssl/certs/, et on en prend compte :
cd /etc/ssl/certs/
c_rehash .La dernière commande crée un lien symbolique ayant pour nom le hash du fichier source et la même extension, ça permet à openSSL à trouver directement le bon certificat sans à avoir à scanner tout le répertoire.