gratifiant > linux.debian.user.french

ajh-valmer (25/02/2019, 12h40)
Bonjour à tous,

cacert.org permet de créer des certificats gratuits.

On reçoit un fichier mondomaine.net et un fichier pop.mondomaine.net,
contenant un seul certif chiffré.

Mes 2 questions :
Le certificat mondomaine.net peut-il être utilisé pour un site https ?
Si j'observe mon fichier apache2, "default-ssl.conf", il faut 3 certifs :
".crt" , ".key" , ".chain"

Idem pour dovecot.conf (messagerie) il faut 2 certifs : ".pem" et ".key"

Merci d'une explication salvatrice, j'en ai besoin :-)

A. Valmer
Daniel Caillibaud (25/02/2019, 14h00)
Le 25/02/19 à 11:36, "ajh-valmer" <ajh.valmer> a écrit :
> Bonjour à tous,
> cacert.org permet de créer des certificats gratuits.
> On reçoit un fichier mondomaine.net et un fichier pop.mondomaine.net,
> contenant un seul certif chiffré.
> Mes 2 questions :
> Le certificat mondomaine.net peut-il être utilisé pour un site https ?
> Si j'observe mon fichier apache2, "default-ssl.conf", il faut 3 certifs :
> ".crt" , ".key" , ".chain"


pour faire fonctionner du ssl il faut
- un certificat
- la clé privée qui permet de l'utiliser (tu l'as probablement générée
avant pour fabriquer le csr que tu as filé à cacert pour générer ton
certificat)

le 3e, "chain", est une concaténation du certificat avec les certificats
de ceux qui l'ont généré (ceux de cacert dans ton cas), pouravoir toute la
chaîne de certification dans un seul fichier.

> Idem pour dovecot.conf (messagerie) il faut 2 certifs : ".pem" et ".key"


Je connais pas apache, mais en général y'a besoin que de taCle.key et
tonCertifFullchain.pem (qui contient le certif et ceux des certificateurs).

> Merci d'une explication salvatrice, j'en ai besoin :-)


Si tu t'en sors pas avec cacert regarde l'autre thread sur letsencrypt &
certbot.
Ph. Gras (25/02/2019, 20h00)
Bonsoir la liste,

[..]
> tonCertifFullchain.pem (qui contient le certif et ceux des certificateurs).
> Si tu t'en sors pas avec cacert regarde l'autre thread sur letsencrypt &
> certbot.


les explications données par Daniel sont exactes, mais incomplètes par rapport
aux questions posées.

Le certificat est lié au domaine et peut aussi être lié à des sous-domaines de ce
domaine.

Pour un domaine example.com, il faut demander un certificat. Pour un domaine
example.com et ses sous-domaines et mail.example.com, il
suffit de demander un seul certificat, mais pour les 3 domaine et sous-domaines.
C'est le certificat SNI :


On peut l'observer dans son navigateur lorsqu'on affiche les informations liées
au certificat de notre ami visionduweb.fr

Bonne soirée,

Ph. Gras
ajh-valmer (27/02/2019, 16h30)
On Monday 25 February 2019 12:58:14 Daniel Caillibaud wrote:
> Le 25/02/19 à 11:36, "ajh-valmer" <ajh.valmer> a écrit :
> pour faire fonctionner du ssl il faut :
> - un certificat,
> - la clé privée qui permet de l'utiliser (tu l'as probablement générée
> avant pour fabriquer le csr que tu as filé à cacert pour générer ton
> certificat) :

Je n'ai fourni aucun certificat à cacert,
mondomaine.net et pop.mondomaine.net
étaient déjà présents, je devais simplement les proroger.
Il doit s'agir de certificateurs et non de certificats.

> le 3e, "chain", est une concaténation du certificat avec les certificats
> de ceux qui l'ont généré (ceux de cacert dans ton cas), pour avoir toute la
> chaîne de certification dans un seul fichier.
> Je connais pas apache, mais en général y'a besoin que de taCle.key et
> tonCertifFullchain.pem (qui contient le certif et ceux des certificateurs).
> Si tu t'en sors pas avec cacert regarde l'autre thread sur letsencrypt &
> certbot : letsencrypt, pas réussi, certbot je vais voir.


Je voulais savoir comment créer les 4 certificats .pem , .key , .csr, .chain,
à partir de celui unique fourni par cacert.

Ce lien explique pas mal :


Je crains avoir raté une étape...

> Pour un domaine example.com, il suffit de demander un seul certificat.
> C'est le certificat SNI :
> : Merci, mais pas de tutos sur la création des autres certifs à ce lien.


Si j'y arrive..., est-ce que les navigateurs vont bien accepter
les certifs générés par cacert.org ?

Bonne journée.
Ph. Gras (27/02/2019, 17h40)
Attention !

> Je voulais savoir comment créer les 4 certificats .pem , .key , ..csr, .chain,
> à partir de celui unique fourni par cacert.


les 4 fichiers auxquels tu fais référence ne sont pas 4 certificats différents,
mais un certificat *.pem a besoin d'une clé *.key au moins et en plus pour
être authentifié par le navigateur. D'autres fichiers peuvent également être
nécessaires pour valider le processus, ça dépend du processus choisi par
l'administrateur, c'est-à-dire toi.

> Ce lien explique pas mal :
>


Merci d'avoir apporté toi-même une réponse à ta question. Il te reste donc
à l'évaluer et nous dire si ça marche ou pas.

> Je crains avoir raté une étape…


Je crains que tu en aies loupé plusieurs !

>> Pour un domaine example.com, il suffit de demander un seul certificat.
>> C'est le certificat SNI :
>> :

> Merci, mais pas de tutos sur la création des autres certifs à ce lien.
> Si j'y arrive..., est-ce que les navigateurs vont bien accepter
> les certifs générés par cacert.org ?


Ça dépend :-)

Pour conclure, je pense que tu devrais déjà te renseigner sur ce qu'est un
certificat, comment ça fonctionne et chez qui tu peux en obtenir.

Tu reviendras vers nous avec des questions précises suivant ce que tu as
envie de faire par rapport aux choix que tu as raisonnablement effectués.

Bon courage,

Ph. Gras
Alain Vaugham (27/02/2019, 19h10)
Le Wed, 27 Feb 2019 15:24:32 +0100,
"ajh-valmer" <ajh.valmer> a écrit :

> Si j'y arrive..., est-ce que les navigateurs vont bien accepter
> les certifs générés par cacert.org ?


Chez moi, avec Firefox je peux accéder à mon compte privé sur
.
Tous les deux ans, je n'ai rien à faire d'autre qu'à renouveler le
certificat sur le site de CAcert, à l'intégrer dans Firefox et à
sauvegarder un mot de passe au cas où je devrais changer de Firefox.
Frédéric MASSOT (28/02/2019, 11h10)
Le 27/02/2019 à 22:24, G2PC a écrit :
> Le 27/02/2019 à 20:56, Alexandre Goethals a écrit :
> Un simple enregistrement DNS, c'est peut être plus simple que la méthode
> .well-know.


Oui, mais il mettre à jour l'enregistrement DNS à chaque renouvellement
du certificat. Il faut donc lié certbot au service qui gère la zone DNS.

Il existe des plugins DNS pour cela :
ajh-valmer (28/02/2019, 11h40)
On Wednesday 27 February 2019 15:36:20 Alain Vaugham wrote:
> Tous les deux ans, je n'ai rien à faire d'autre qu'à renouvelerle
> certificat sur le site de CAcert, à l'intégrer dans Firefox et à
> sauvegarder un mot de passe au cas où je devrais changer de Firefox.


Je n'ai jamais eu besoin de faire ça.

Pourquoi intégrer manuellement le certificat dans un navigateur ?
et mot de passe de quoi et ou sauvegarder ?

Merci.
Alain Vaugham (01/03/2019, 03h50)
Le Thu, 28 Feb 2019 10:31:18 +0100,
"ajh-valmer" <ajh.valmer> a écrit :

> On Wednesday 27 February 2019 15:36:20 Alain Vaugham wrote:
> Je n'ai jamais eu besoin de faire ça.
> Pourquoi intégrer manuellement le certificat dans un navigateur ?


Pourquoi? C'est par exemple pour me connecter à mon compte privé sur le
site de CAcert.
Ce certificat m'évite de fournir un mot de passe lorsque je m'y
connecte. Mon compte privé est accessible ici:

Pour s'y connecter, Firefox communique mon certificat personnel à
CAcert. Une fois que CAcert l'a reconnu comme valide, CAcert me
connecte à mon compte privé.

D'après ce que j'ai compris, les certificats de Let's Encrypt ne
protègent que les noms de domaine. Dans la terminologie de Firefox ils
appellent ça "certificats de serveurs".
Let's Encrypt ne permet pas l'usage de certificats personnels tels que
ceux de CAcert.
Il y a quelques années le fisc nous proposait de nous identifier avec
des certificats personnels. C'est ce genre de certificat dont je parle
ici.

> et mot de passe de quoi


C'est Firefox qui l'impose. C'est pour protéger mes certificats
personnels ainsi que mes certificats de serveurs qu'il stocke:
/menu/préférences/vie privé sécurité/certificats/afficher/Vos
certificats

et ou sauvegarder ?
Dans un endroit où on est sûr de le retrouver ;-) par exemple le
mémoriser dans sa tête ou dans un gestionnaire de mots de passes tel
que KeePass.
Discussions similaires