Menu
picture of tbs certificates
picture of tbs certificates
 
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


Utiliser un client SSL linux / openssl

La plupart des clients SSL Linux (comme Lynx, wget, curl) utilisent openssl pour vérifier les certificats serveurs présentés. Voyez aussi Quelle version d'OpenSSL utiliser?
Par defaut, openssl place les fichiers des autorités de certification de confiance dans /usr/lib/ssl/certs . Il utilise également cet emplacement pour sa commande s_client.

Cet emplacement peut être modifié en définissant la variable d'environnement SSL_CERT_DIR globalement dans /etc/profile ou dans un fichier utilisateur équivalent.

Dans ce répertoire, mettez les certificats (au format X509 nommés *.pem) des autorités auquelles vous faites confiance. Puis actualisez les hash des sujets en tapant:
/usr/bin/c_rehash /usr/lib/ssl/certs
Vous pouvez directement utiliser notre archive des autorités auquelles nous faisons confiance en tapant:
wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz
tar -x -C / -vzf tbs-trusted-roots.tgz
c_rehash /usr/lib/ssl/certs
ou
wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz && tar -x -C / -vzf tbs-trusted-roots.tgz && c_rehash /usr/lib/ssl/certs
ou
curl https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz | tar -x -C / -vz && c_rehash /usr/lib/ssl/certs
Si vous utilisez curl, sachez qu'il travaille avec son propre fichier contenant la liste des autorités de certification... qui date de 2000!

Il faut donc mettre ce fichier à jour comme indiqué:
cd /usr/share/curl/
cp curl-ca-bundle.crt curl-ca-bundle.crt.orig
wget https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz
tar xvfz tbs-trusted-roots.tgz usr/lib/ssl/certs/allroots.txt
mv usr/lib/ssl/certs/allroots.txt curl-ca-bundle.crt
rmdir -p usr/lib/ssl/certs


Si vous avez également Java sur votre poste, sachez que vous pouvez aussi utiliser notre fichier d'autorités de certification.
Pour se faire, si vous avez installé notre fichier https://www.tbs-internet.com/secure/ca/tbs-trusted-roots.tgz , vous aurez dans /usr/lib/ssl/certs/ un fichier nommé cacerts. C'est la base des certificats.

Pour la mettre en place, il suffit de copier ce fichier vers /usr/java/xxx/lib/security/cacerts en remplaçant xxx par le nom de votre version de java. Par exemple:
/usr/java/jre1.5.0_01/lib/security/cacerts
/usr/java/jdk1.5.0_06/jre/lib/security/cacerts
Le mot de passe de notre base est: tbstrusted

Sous gentoo, le chemin par défaut pour les autorités de certification est /etc/ssl/certs.

Un grand nombre d'autorités sont livrées par défaut, dont les notres. Donc nul besoin d'en ajouter, par contre en retirer ne serait pas forcement une mauvaise idée ;)