Re: Outils / méthodes de débug sur la validation de la chaine de certification ssl
Le 07/02/14 à 14:01, "nb" <nb@dagami.org> a écrit :
N> > 2) Quelle méthode permet de parvenir au certif manquant (que symantec affiche) ?
N> >
N> > openssl s_client est bavard mais je vois pas comment récupérer dans sa sortie l'info
N> > permettant de trouver le certif intermédiaire manquant
N> Pour la question 2:
N>
N> locate ca-certificates.crt
N>
N> exemple de réponse : /etc/ssl/certs/ca-certificates.crt (c'est un fichier qui contient les
N> certificats d'autorités)
N>
N> puis
N>
N> openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -host
N> www.parisclassenumerique.fr -port 443 -verify -state ^^^^^^^^^^^^^^^^^^^^
N> valeur récupérée précédemment
N>
N> Ton certificat n'a aucun problème.
Ils ont corrigé la conf du serveur ce matin ;-)
(sont réactif, on leur a signalé le pb hier soir)
Avant il manquait un certif intermédiaire dans la chaîne, c'est ce qu'affichait le site de
symantec avec un lien pour récupérer le certif manquant.
C'était pour passer le 1er maillon, de
www.parisclassenumerique.fr
à
VeriSign Class 3 Extended Validation SSL SGC CA
Actuellement, openssl s_client renvoie toujours du
depth=2 C = US, O = "VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign,
Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary Certification Authority -
G5
verify error:num=20:unable to get local issuer certificate
verify return:0
mais il se connecte (et les appels curl ou wget fonctionnent).
Si j'utilise le ca-bundle.crt que je me suis fabriqué à partir des certifs de firefox, j'ai pas
l'avertissement, mais je vois pas trop comment trouver le certif manquant.
--
Daniel
Bien sûr l'Amérique avait été découverte avant Colomb.
Mais le secret avait été bien gardé.
Oscar Wilde
Reply to: