Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Modifier la durée d'un certificat

    Français
    2
    2
    769
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      LLFT
      last edited by

      Bonjour,

      Nous avons créé depuis pfSense des certificats à destination de nos clients OpenVpn.
      Par défaut le Système nous a mis une durée de 10 ans pour chaque certificat.

      Dans l'objectif de replanifier l'expiration des certificats sans avoir à les rééditer, Nous aurions voulu savoir s'il était possible de modifier cette durée à la baisse une fois les certificats publié ?

      Merci Beaucoup,

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by jdh

        Brute, la réponse est non.

        Pendant quelques années, j'ai géré, pour une entreprise PME, des pfsense (que j'avais choisi). Il y a eu des questions que je n'avais aucunement préparé lors de la mise en place: j'en fait part parce que cela peut être utile ...

        La gestion de certificats de pfSense est simple et facile à utiliser, mais incomplète. Si elle a le mérite d'être là, il y a des choses à savoir pour bien la faire fonctionner ...

        La gestion de certificats c'est

        • un certificat AC = Authorité de Certification = signature des certificats
        • des certificats pour serveurs,
        • des certificats pour utilisateurs,
        • des listes de révocation de certificats (CRL).

        Les questions majeures sont

        • le renouvellement,
        • la révocation.

        En fixant 3650 jours (option par défaut) pour un certificat, on ne pense pas au renouvellement : on voit la révocation avant bien souvent !

        Première chose à BIEN comprendre : ne JAMAIS supprimer un certificat !! Cela ne révoque pas celui-ci et empêche de créer une liste de révocation correcte (un certificat supprimé ne peut apparaitre dedans) : le certificat continuera à fonctionner !!! Grave erreur. (Je ne supprime même pas ceux expirés ou renouvellés.)

        Deuxième chose : si on révoque un certificat, recréer DE SUITE la liste de révocation (et redémarrer OpenVPN) car c'est elle qui indique au serveur OpenVPN que le certificat est révoqué. La liste devient de plus en plus grande à chaque révocation !

        Troisième chose : le renouvellement est juste un nouveau certificat qui se créé assez automatiquement (il faut demander 'Renew'), et il faudra le fournir à l'utilisateur 'comme le certificat initial'.

        Mon conseil : si la AC doit avoir une durée longue (10 ans), les certificats serveurs devraient être moins longs (p.e. 4 ans), et les certificats utilisateurs devraient être court (1 ou 2 ans).

        En fait, pour la AC, il serait mieux que la durée soit plus courte (2 ans) et que ce soit même un certificat importé = acheté pour l'occasion, ce qui peut éviter la diffusion de la clé publique, mais dans une PME ...

        Comprenez moi bien clairement : vos certificats utilisateurs créés pour 10 ans doivent être conservés jusqu'au bout !

        Ce qui manque à cette interface :

        • un bouton pour cacher/montrer les certificats révoqués : ne donnerait pas la tentation de les supprimer !
        • un serveur web OCSP pour la diffusion de la CRL

        NB : j'ignore comment on renouvelle la AC ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.