Différences

Ci-dessous, les différences entre deux révisions de la page.

--- certificats [2018/11/30 08:30]
florian [Signature PDF intégrée]
+++ certificats [2024/12/27 11:06] (Version actuelle)
florian [Utilisation de OpenSSL]
@@ Ligne 188: / Ligne 188: @@
 Les chemins sont à adapter selon votre cas.
+<WRAP center round tip 60%>
+Utilisez le mode ''legacy'' si vous rencontrez des erreurs de compatibilité entre votre version d'OpenSSL et celle du fichier p12.
+</WRAP>
+Si par exemple vous obtenez une erreur semblable à celle ci-dessous au moment d'exporter le certificat:
+<code>
+Error outputting keys and certificates
+B0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../openssl-3.1.2/crypto/evp/evp_fetch.c:341:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()
+</code>
+Dans ce cas ajoutez l'option ''-legacy'' à vos commandes. Exemple:
+<code>
+openssl pkcs12 -legacy -in moncertificat.p12 -clcerts -nokeys -out moncertificat.crt
+</code>
+====== Message d'erreur "the ssl connection could not be established see inner exception" sur l'application mobile Android. ======
+Ce message d'erreur est affiché lorsque que le certificat racine (ca-bundle) est expiré.
+Solution:
+Récupérer le ca-bundle: (ne fonctionne pas pour les certificats auto-signé)
+exemple sur un certificat comodo (setigo):
+utilisez un navigateur à jour (ex: Firefox), allez sur l'url de l'application et cliquez sur le cadenas
+{{:ssl.png?400|}}
+cliquez sur connexion sécurisée, ensuite sur plus d'information
+{{:ssl2.png?400|}}
+une fenêtre s'affiche contenant des informations, cliquez sur Afficher le certificat
+{{:ssl3.png?400|}}
+Cette action ouvre une page web, cliquer sur télécharger: PEM (chain)
+{{:ssl4.png?400|}}
+Enregistrer le fichier sous le nom de (name).ca-bundle.crt et édité le avec votre éditeur de texte préféré.
+Supprimer le premier bloc. Ce bloc correspond a votre certificat. Les autres blocs représentent la chain.
+{{:ssl5.png?400|}}
+Placez ce fichier dans votre dossier apache où ce situe les autres *.crt
+Éditez votre fichier httpd.conf
+Cherchez votre bloc où vous déclarez les certificats.
+Ajoutez la ligne: SSLCertificateChainFile {votre path du ca-bundle}.ca-bundle.crt
+<code>
+NameVirtualHost 192.168.XXX.XXX:443
+<VirtualHost 192.168.XXX.XXX:443>
+DocumentRoot c:/nchp/usr/local/nchp/ezged/www
+ServerName 192.168.XXX.XXX
+SSLEngine On
+SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
+SSLCertificateFile c:/nchp/etc/nchp/ezged/mydomain.crt
+SSLCertificateKeyFile c:/nchp/etc/nchp/ezged/mydomain.key
+SSLCertificateChainFile c:/nchp/etc/nchp/ezged/myname.ca-bundle.crt
+</VirtualHost>
+</code>
+pour conclure redémarrer apache.
+====== Certificats et applications mobiles ======
+Lorsque EzGED doit être accessible depuis une application mobile il convient de s'assurer
+que le certificat TLS installé sur le serveur soit accepté par les OS mobiles donc principalement par iOS et Android.
+Liste des certificats racines de confiance pour:
+  * Les OS Apple https://support.apple.com/fr-fr/HT209143
+  * Android : pas de liste officielle
+====== Memo OpenSSL ======
+===== Convertir un DER en PEM =====
+<code>
+openssl x509 -inform der -in moncertificat.der -out moncertificat.crt
+</code>

EzGED Wiki

Outils pour utilisateurs

Outils du site

Différences

Outils de la page