Pour créer un csr il faut commencer par créer une clé privé, puis créer un template de configuration.

 

tongue-out PS : vous devez remplacer FR, pra, url(s), domaines, Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., par vous données si vous ne voulez pas avoir de mauvaise surprise frown undecided cry

Pour lire un certificat ssl distant (généralement un site web) pour voir sa validité est faisable avec la commande openssl

openssl s_client -connect <URL>:<port> -state on peut rajouter -d pour débugguer

exemple :

openssl s_client -connect tools.pra.rip:443 -state 

openssl s_client -connect duckduckgo.com:443 -state

 

Pour lire un certificat non principal (SNI)

openssl s_client -servername <domaine> -connect <URL>:<port> -state

 

Vérifier les versions TLS supportées :

openssl s_client -connect <URL>:<port> -tls<version>

<version> : 1, 1_1,1_2

example : 

openssl s_client -connect pra.rip:443 -tls1_1  (refuse TLS1.1)

openssl s_client -connect duckduckgo.com:443 -tls1_1  (accepte TLS1.1)

On va utiliser la commande openssl

openssl x509 -in <fichier_au_format_DER> -inform der -outform pem -out <fichier_au_format_PEM>

Il faut pour cela lire le certificat fournit par l'autorité de certification voir : Apache2 - lire un certificat ssl

Il y a une ligne qui commence par  : CA Issuers - URI: suivi d'une URL, c'est cette URL qui fournit le CA

 

par exemple :

Authority Information Access:

CA Issuers - URI:http://crt.comodoca.com/COMODORSAOrganizationValidationSecureServerCA.crt

 

Le certificat  (CA) peut être de la forme DER

pour le lire directement il est possible d'utiliser la commande wget -O - URL | openssl x509 -inform DER

exemple :

wget -O - http://crt.sectigo.com/SectigoRSAOrganizationValidationSecureServerCA.crt | openssl x509 -inform DER