Autorité de certification
-
Bonjour,
J'ai crée mes certificats sur pfsense et bien sur ils sont autosignés. Donc j'ai décidé de créer ma PKI en suivant ce site http://blog.utopiaz.org/2008/11/creer-son-autorite-de-certification-ca-avec-openssl/ mais parés avoir crée mes certificats j'ai décidé de les mettre sur pfsense. J'ai donc ouvert mes certificats pris le " code " le rentre dans pfsense ( certificat et clé ) puis valide le tout. Ensuite je veux tester alors j'ouvre une nouvelle fenêtre et là plus rien. Aucun moyen d'accéder à l'interface webGui et à internet. Dans le coup j'ai accéder au fichier interne de pfsense grâce à winscp j'ai modifié le fichier xml en enlevant les certificats et le https et j'ai pu à nouveau accéder à mon interface.
Mon idée est t-elle possible ? Créer une PKI et d'y incorporer les certificats dans pfsense ? Où ai-je fais une erreur ?
Merci
-
Possible et pas une mauvaise idée. Néanmoins il s'agit d'un domaine assez complexe et je ne saurai trop vous conseiller de vous documenter abondamment et de réaliser des tests divers sur des plateformes uniquement réservées à cette usage.
Une parenthèse pour les certificats autosignés : on peut considérer qu'ils n'ont pratiquement aucune valeur dès lors que des tiers sont impliqués. Le lien que vous donnez à un intérêt didactique certain. Par contre je pense que l'auteur commet une grave méprise en réduisant la comparaison entre certificats autosignés et certificats commerciaux à cette phrase :La gratuité est au rendez-vous mais nécessite d’importer manuellement le certificat public de votre CA dans votre navigateur ou application, requiert l’approbation de l’utilisateur et peut être effrayant pour l’utilisateur inexpérimenté.
Vous avez fait votre choix et comme moi aimez mettre les mains dans le “camboui” et avoir la “maitrise” des rouages de vos serveurs …
L'information tarifaire donné n'a pas beaucoup de sens. Les coûts sont sensiblement différents selon le type de certificat et sa classe. Il est difficile de comparer un certificat à 50 euros obtenu en ligne avec pour seul justificatif une adresse mail valide et un certificat de classe 3 délivré en face à face strict après avoir fourni les pièces justificatives de l'identité de l'entité bénéficiaire du certificat.
-
Je veux essayer de persister et j'ai trouvé une solution peut être plus simple sur ce lien : http://irp.nain-t.net/doku.php/270crypt:030_application
A la fin il y 5 fichier et je ne sais pas lesquels monter sur pfsense alors ( ce n'est pas très intelligentt ) j'en est pris 2 au pif mais en faisant attention qu'il y avait bien un certificat et une clé privée.
On exporte la CA, les certificats ( 2 ) et les clés ( 2 ) et j'ai mis les 2 certificats donc vous ne savez pas d'où vient mon erreur ? Car ça a encore planté arf :-\
-
Je suggèrerai d'essayer de comprendre comment tout cela fonctionne. A force de procéder au pif, cela pourrait bien finir par "tomber en marche".
-
Je m'y remet des demain et si ça marche je vous tiendrais aucourant.