J'ai effectué une implémentation d'authentification de certificat mutuelle avec OpenSSL et Apache Web Server sur la plate-forme CentOS. Pour une explication simple, voir ce diagramme:
---------- | Root CA | // Self-Signed Certificate ---------- | ---------- | SiteA CA | // Intermediate Certificate signed by Root CA ---------- | | -------- -------- | Server1 | | Client1 | //Certificates signed by SiteA CA -------- --------
dans Apache Configuration, j'ai édité ensuite:
fabrique une chaîne en chaîne:
Sudo cat server.crt rootca.crt serverCA.crt > server_chain.crt
modifier la configuration ssl:
Sudo vi /etc/httpd/conf.d/ssl.conf
éditez ces quatre lignes:
SSLCertificateFile /etc/pki/tls/server.crt
SSLCertificateKeyFile /etc/pki/tls/server.key
SSLCertificateChainFile /etc/pki/tls/server_chain.crt
SSLCACertificateFile /etc/pki/tls/rootca.crt
et pour en faire une authentification mutuelle (bidirectionnelle):
SSLVerifyClient require
SSLVerifyDepth 10
Puis: redémarrez le service Apache = httpd:
Sudo service httpd restart
vous savez que vous devez donner à votre navigateur racine le certificat ca et le certificat client et, alors que je faisais un test,
J'ai retiré rootca.crt
du navigateur et constaté que Firefox et Chrome me demandaient une confirmation du certificat client avant de me dire que le serveur n'était pas un serveur de confiance, alors que le navigateur Opera fonctionnait correctement. D'abord, dites-moi que ce n'est pas fiable, puis montrez-moi les informations du certificat client.
On m'a dit que, dans IIS, il existe une option permettant d'indiquer au serveur Web la question à poser en premier, mais je n'ai pas trouvé cette option ici, dans Apache.
Quelqu'un peut-il aider?
Cela pourrait vous aider:
https://www.ssllabs.com/ssltest/analyze.html?d=yourwebsite.com
J'ai récemment utilisé cela pour tester la sécurité. Ceci retourne les protocoles utilisés, les vulnérabilités possibles, les longueurs de clé et la chaîne de certificats .
Ils vous donnent toutes sortes d’informations, très utiles, je le recommande à tout le monde, il suffit de faire une simple vérification, c’est gratuit et ne prend que quelques minutes.