Utiliser un client SSL linux / openssl
La plupart des clients SSL Linux (comme Lynx, wget, curl) utilisent openssl pour vérifier les certificats serveurs présentés. Voyez aussi Quelle version d'OpenSSL utiliser?Par defaut, openssl place les fichiers des autorités de certification de confiance dans /usr/lib/ssl/certs . Il utilise également cet emplacement pour sa commande s_client.
Cet emplacement peut être modifié en définissant la variable d'environnement SSL_CERT_DIR globalement dans /etc/profile ou dans un fichier utilisateur équivalent.
Dans ce répertoire, mettez les certificats (au format X509 nommés *.pem) des autorités auquelles vous faites confiance. Puis actualisez les hash des sujets en tapant:
/usr/bin/c_rehash /usr/lib/ssl/certsVous pouvez directement utiliser notre archive des autorités auquelles nous faisons confiance en tapant:
wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz tar -x -C / -vzf tbs-trusted-roots.tgz c_rehash /usr/lib/ssl/certsou
wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz && tar -x -C / -vzf tbs-trusted-roots.tgz && c_rehash /usr/lib/ssl/certsou
curl https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz | tar -x -C / -vz && c_rehash /usr/lib/ssl/certsSi vous utilisez curl, sachez qu'il travaille avec son propre fichier contenant la liste des autorités de certification... qui date de 2000!
Il faut donc mettre ce fichier à jour comme indiqué:
cd /usr/share/curl/ cp curl-ca-bundle.crt curl-ca-bundle.crt.orig wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz tar xvfz tbs-trusted-roots.tgz usr/lib/ssl/certs/allroots.txt mv usr/lib/ssl/certs/allroots.txt curl-ca-bundle.crt rmdir -p usr/lib/ssl/certs
Si vous avez également Java sur votre poste, sachez que vous pouvez aussi utiliser notre fichier d'autorités de certification.
Pour se faire, si vous avez installé notre fichier https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz , vous aurez dans /usr/lib/ssl/certs/ un fichier nommé cacerts. C'est la base des certificats.
Pour la mettre en place, il suffit de copier ce fichier vers /usr/java/xxx/lib/security/cacerts en remplaçant xxx par le nom de votre version de java. Par exemple:
/usr/java/jre1.5.0_01/lib/security/cacerts /usr/java/jdk1.5.0_06/jre/lib/security/cacertsLe mot de passe de notre base est: tbstrusted
Sous gentoo, le chemin par défaut pour les autorités de certification est /etc/ssl/certs.
Un grand nombre d'autorités sont livrées par défaut, dont les notres. Donc nul besoin d'en ajouter, par contre en retirer ne serait pas forcement une mauvaise idée ;)
Dernière modification le 22/11/2010 13:03:05 --- [Chercher]