OpenSSL VPN Serveurs de messagerie |
OpenSSL/UnableToGetLocalIssuerCertificateOpenSSL.UnableToGetLocalIssuerCertificate HistoryHide minor edits - Show changes to markup Changed line 8 from:
Lors de l'utilisation du SSL, il n'est pas rare rencontrer cette erreur, voici une explication détaillée de la façon de l'éviter.\\ to:
Lors de l'utilisation du SSL, il n'est pas rare de rencontrer cette erreur, voici une explication sur la façon de l'éviter. Deleted line 9:
La commande s_client est capable d'afficher les certificats envoyés par le serveur :\\ Changed lines 88-90 from:
Dans l'exemple ci-dessus, nous avons une erreur sur le certificat Thawte SGC CA car son émetteur VeriSign, Inc. n'est pas connu. La réponse à ce problème est la création d'une liste de certificats (racines) de confiance qui deviendront les premiers maillons des futures chaines de confiance. Attention, en ajoutant un certificat racine à la liste des certificats de confiance (Trusted certificates) nous accepterons d'office l'ensemble des certificats qu'il a émis et qu'il émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis. to:
Dans l'exemple ci-dessus, OpenSSL reléve une erreur sur deuxième certificat (depth=1), qui contient ceci : Attention, en ajoutant un certificat racine à la liste des certificats de confiance (Trusted certificates) nous acceptons d'office l'ensemble des certificats qu'il a émis et qu'il émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis. Changed lines 2-3 from:
(:description II► How to avoid the unable to get local issuer certificate error :) to:
(:description How to avoid the unable to get local issuer certificate error :) Changed lines 6-7 from:
Grâce à l'option -showcerts, il est possible d'afficher les certificats retournés par le serveur lors de la requête s_client mais attention, car cette chaîne de confiance n'est ni forcement complète ni digne de confiance.\\ to:
Comment éviter l'erreur 'unable to get local issuer certificate' ?Lors de l'utilisation du SSL, il n'est pas rare rencontrer cette erreur, voici une explication détaillée de la façon de l'éviter.\\ Changed lines 10-12 from:
to:
La commande s_client est capable d'afficher les certificats envoyés par le serveur : Changed lines 89-92 from:
Dans notre exemple, nous avons une erreur sur le certificat Thawte SGC CA car nous n'avons pas fournit le certificat de son émetteur. Attention, en fournissant le certificat racine nous accepterons d'office l'ensemble des certificats qu'il a émis et émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis. to:
Dans l'exemple ci-dessus, nous avons une erreur sur le certificat Thawte SGC CA car son émetteur VeriSign, Inc. n'est pas connu. La réponse à ce problème est la création d'une liste de certificats (racines) de confiance qui deviendront les premiers maillons des futures chaines de confiance. Attention, en ajoutant un certificat racine à la liste des certificats de confiance (Trusted certificates) nous accepterons d'office l'ensemble des certificats qu'il a émis et qu'il émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis. Added lines 96-97:
Deux méthodes d'alimentation de la liste de confianceChanged lines 171-173 from:
Cette méthode utilise un répertoire unique unique contenant tous les certificats sous forme de fichiers indépendants. to:
Cette méthode utilise un répertoire unique contenant tous les certificats sous forme de fichiers indépendants. Changed lines 168-169 from:
Le nom du fichier contenant le certificats est obtenu par hash de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes deux valeurs de hash identiques. to:
Le nom du fichier contenant le certificat est calculé par hash de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes à deux valeurs de hash identiques. Changed lines 1-3 from:
(:keywords openssl, certificats, x509, PEM, certificat:) to:
(:keywords grandville, informatique, lille, prestataire, PME, windows, unix, bsd, réseau, vpn, sécurité, intégration, openssl, certificats, x509, PEM, certificat:) (:description II► How to avoid the unable to get local issuer certificate error :) Deleted lines 102-106:
La seule méthode valable consiste à télécharger les root CA. Added lines 104-111:
La seule méthode valable consiste à télécharger : \\ Changed lines 2-4 from:
http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif to:
http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif Changed lines 93-95 from:
Cette méthode simple consiste à fournir un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun). to:
Cette méthode simple consiste à utiliser un fichier unique contenant une ou plusieurs CA, Changed lines 106-107 from:
La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) to:
La seule méthode valable consiste à télécharger les root CA. Changed lines 161-162 from:
Cette méthode permet d'éviter la création d'un fichier unique contenant tous les certificats en permettant le stockage de l'ensemble des certificats racines (sous forme de fichiers indépendants) dans un unique répertoire. to:
Cette méthode utilise un répertoire unique unique contenant tous les certificats sous forme de fichiers indépendants. Changed lines 169-170 from:
Reste à renommer le certificat avec la valeur obtenue ci-dessus et à lui ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision de valeur de hash.\\ to:
Reste à renommer le fichier du certificat avec la valeur obtenue ci-dessus et à lui ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision de valeur de hash.\\ Changed lines 1-2 from:
Grâce à l'option -showcerts, il est possible d'afficher les certificats retournés par le serveur lors de la requête. to:
(:keywords openssl, certificats, x509, PEM, certificat:) http://www.grandville.net/pub/img/GB.gif http://www.grandville.net/pub/img/D.gif Grâce à l'option -showcerts, il est possible d'afficher les certificats retournés par le serveur lors de la requête s_client mais attention, car cette chaîne de confiance n'est ni forcement complète ni digne de confiance.\\ Changed lines 161-162 from:
Le nom du fichier contenant le certificats est obtenu par hash de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes à un hash donnant la même vameur qu'un autre. to:
Le nom du fichier contenant le certificats est obtenu par hash de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes deux valeurs de hash identiques. Changed line 167 from:
Reste à renommer le certificat avec la valeur obtenue ci-dessus et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\ to:
Reste à renommer le certificat avec la valeur obtenue ci-dessus et à lui ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision de valeur de hash.\\ Changed lines 99-103 from:
La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\ to:
La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) Changed line 2 from:
Attention, car cette chaîne n'est pas forcement complète ni crédible.\\ to:
Attention, car cette chaîne de confiance n'est pas forcement complète ni crédible.\\ Changed lines 17-31 from:
MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM MQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhhd3RlIENvbnN1bHRpbmcgKFB0eSkg THRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBDQTAeFw0wNjA1MTUyMzE4MTFaFw0w NzA1MTUyMzE4MTFaMGgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMRcw FQYDVQQDEw53d3cuZ29vZ2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkC gYEA5sXGjc0LowME3K7MyUa+vcydvHM0SP7TdWTQycl2J3IPqZYaO4HzFPaukFbn GdJzaKeFpK7KJBQwALroNl2BczpxBY+xrxGH2lzxPr9TUYRvRA636CbXL7Jv8vJd 36fPjKXpHm8wSJQhCwGtug5xAQ0Q77/uLNON/lSo/tOXj8sCAwEAAaOB5zCB5DAo BgNVHSUEITAfBggrBgEFBQcDAQYIKwYBBQUHAwIGCWCGSAGG+EIEATA2BgNVHR8E LzAtMCugKaAnhiVodHRwOi8vY3JsLnRoYXd0ZS5jb20vVGhhd3RlU0dDQ0EuY3Js MHIGCCsGAQUFBwEBBGYwZDAiBggrBgEFBQcwAYYWaHR0cDovL29jc3AudGhhd3Rl LmNvbTA+BggrBgEFBQcwAoYyaHR0cDovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv cnkvVGhhd3RlX1NHQ19DQS5jcnQwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0BAQQF AAOBgQBXS7ykQ+fgAZKgljX5GAiIHXtwGY/5NrIFOgXKFFlNJA7liq9Oh1r3HCqW to:
MIIDITCCAoqgAwIBAgIQS6WuWd7dHMeAfIkikfDiQzANBgkqhkiG9w0BAQQFADBM Changed lines 38-52 from:
MIIDIzCCAoygAwIBAgIEMAAAAjANBgkqhkiG9w0BAQUFADBfMQswCQYDVQQGEwJV UzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsTLkNsYXNzIDMgUHVi bGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMDQwNTEzMDAw MDAwWhcNMTQwNTEyMjM1OTU5WjBMMQswCQYDVQQGEwJaQTElMCMGA1UEChMcVGhh d3RlIENvbnN1bHRpbmcgKFB0eSkgTHRkLjEWMBQGA1UEAxMNVGhhd3RlIFNHQyBD QTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1NNn0I0Vf67NMf59HZGhPwtx PKzMyGT7Y/wySweUvW+Aui/hBJPAM/wJMyPpC3QrccQDxtLN4i/1CWPN/0ilAL/g 5/OIty0y3pg25gqtAHvEZEo7hHUD8nCSfQ5i9SGraTaEMXWQ+L/HbIgbBpV8yeWo 3nWhLHpo39XKHIdYYBkCAwEAAaOB/jCB+zASBgNVHRMBAf8ECDAGAQH/AgEAMAsG A1UdDwQEAwIBBjARBglghkgBhvhCAQEEBAMCAQYwKAYDVR0RBCEwH6QdMBsxGTAX BgNVBAMTEFByaXZhdGVMYWJlbDMtMTUwMQYDVR0fBCowKDAmoCSgIoYgaHR0cDov L2NybC52ZXJpc2lnbi5jb20vcGNhMy5jcmwwMgYIKwYBBQUHAQEEJjAkMCIGCCsG AQUFBzABhhZodHRwOi8vb2NzcC50aGF3dGUuY29tMDQGA1UdJQQtMCsGCCsGAQUF BwMBBggrBgEFBQcDAgYJYIZIAYb4QgQBBgpghkgBhvhFAQgBMA0GCSqGSIb3DQEB BQUAA4GBAFWsY+reod3SkF+fC852vhNRj5PZBSvIG3dLrWlQoe7e3P3bB+noOZTc to:
MIIDIzCCAoygAwIBAgIEMAAAAjANBgkqhkiG9w0BAQUFADBfMQswCQYDVQQGEwJV Changed lines 90-92 from:
Cette méthode se limite un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun). to:
Cette méthode simple consiste à fournir un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun). Changed line 99 from:
La seule méthode consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\ to:
La seule méthode valable consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html.\\ Changed lines 105-115 from:
MIICPDCCAaUCEHC65B0Q2Sk0tjjKewPMur8wDQYJKoZIhvcNAQECBQAwXzELMAkG A1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTcwNQYDVQQLEy5DbGFz cyAzIFB1YmxpYyBQcmltYXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTk2 MDEyOTAwMDAwMFoXDTI4MDgwMTIzNTk1OVowXzELMAkGA1UEBhMCVVMxFzAVBgNV BAoTDlZlcmlTaWduLCBJbmMuMTcwNQYDVQQLEy5DbGFzcyAzIFB1YmxpYyBQcmlt YXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIGfMA0GCSqGSIb3DQEBAQUAA4GN ADCBiQKBgQDJXFme8huKARS0EN8EQNvjV69qRUCPhAwL0TPZ2RHP7gJYHyX3KqhE BarsAx94f56TuZoAqiN91qyFomNFx3InzPRMxnVx0jnvT0Lwdd8KkMaOIG+YD/is I19wKTakyYbnsZogy1Olhec9vn2a/iRFM9x2Fe0PonFkTGUugWhFpwIDAQABMA0G CSqGSIb3DQEBAgUAA4GBALtMEivPLCYATxQT3ab7/AoRhIzzKBxnki98tsX63/Do lbwdj2wsqFHMc9ikwFPwTtYmwHYBV4GSXiHx0bH/59AhWM1pF+NEHJwZRDmJXNyc to:
MIICPDCCAaUCEHC65B0Q2Sk0tjjKewPMur8wDQYJKoZIhvcNAQECBQAwXzELMAkG Changed lines 152-155 from:
Cette méthode permet de s'affranchir de la sélection d'un certificat particulier en fournissant une liste de certificats racines. Les noms des certificats du répertoire sont obtenus par hash de la valeur de leurs CN suivi d'une extension numérique. to:
Cette méthode permet d'éviter la création d'un fichier unique contenant tous les certificats en permettant le stockage de l'ensemble des certificats racines (sous forme de fichiers indépendants) dans un unique répertoire. Le nom du fichier contenant le certificats est obtenu par hash de la valeur du CN suivi d'une extension numérique pour éviter les collisions dûes à un hash donnant la même vameur qu'un autre. Changed line 161 from:
Reste à renommer le certificat et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\ to:
Reste à renommer le certificat avec la valeur obtenue ci-dessus et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\ Changed line 100 from:
Le fichier concernant de certificat Class 3 Public Primary Certification Authority (étiquette OU de l'emétteur du certificat thawte) est le fichier PCA3ss_v4.509\\ to:
Le fichier concernant le certificat Class 3 Public Primary Certification Authority (étiquette OU de l'emétteur du certificat thawte) est le fichier PCA3ss_v4.509\\ Changed lines 162-164 from:
Notre fichier PCA3ss_v4.crt s'appelle maintenant a386470b.0 to:
Notre fichier PCA3ss_v4.crt s'appelle maintenant a386470b.0. Changed line 2 from:
Cette chaîne n'est d'ailleurs pas forcement complète ni crédible.\\ to:
Attention, car cette chaîne n'est pas forcement complète ni crédible.\\ Changed lines 3-4 from:
to:
Changed lines 90-92 from:
Cette méthode se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête. to:
Cette méthode se limite un fichier contenant une ou plusieurs CA (en conservant les étiquettes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- pour chacun). Deleted line 98:
Changed line 100 from:
Le fichier concernant Class 3 Public Primary Certification Authority que nous cherchons s'appelle PCA3ss_v4.509\\ to:
Le fichier concernant de certificat Class 3 Public Primary Certification Authority (étiquette OU de l'emétteur du certificat thawte) est le fichier PCA3ss_v4.509\\ Changed lines 154-155 from:
Le nom des certificats du répertoire sont obtenus par hash de la valeur de leurs CN to:
Les noms des certificats du répertoire sont obtenus par hash de la valeur de leurs CN suivi d'une extension numérique. Changed line 157 from:
OpenSSL> x509 -noout -hash -in PCA3ss_v4.crt\\ to:
OpenSSL> x509 -noout -hash -in PCA3ss_v4.crt\\ Changed line 166 from:
OpenSSL> s_client -CApath C:\TrustedCA\ -showcerts -connect www.google.com:443 to:
OpenSSL> s_client -CApath C:\TrustedCA\ -showcerts -connect www.google.com:443 Changed line 161 from:
Reste à renommer le certificat et à ajouter un suffixe commençant à zéro pour traiter l'éventualité d'une collisions des hash.\\ to:
Reste à renommer le certificat et à ajouter un suffixe numérique commençant à zéro pour parer l'éventualité d'une collision des hash.\\ Changed lines 100-101 from:
Le fichier concernant Class 3 Public Primary Certification Authority que nous cherchons s'appelle PCA3ss_v4. to:
Le fichier concernant Class 3 Public Primary Certification Authority que nous cherchons s'appelle PCA3ss_v4.509 Changed line 9 from:
verify error:num=20:unable to get local issuer certificate\\ to:
verify error:num=20:unable to get local issuer certificate\\ Changed lines 33-34 from:
-----END CERTIFICATE----- to:
-----END CERTIFICATE----- 1 s:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA Changed line 75 from:
Verify return code: 20 (unable to get local issuer certificate)
to:
Verify return code: 20 (unable to get local issuer certificate)
Changed lines 77-78 from:
read:errno=0 to:
read:errno=0 Changed lines 80-81 from:
Dans notre exemple, nous avons une erreur sur le certificat Thawte SGC CA car nous n'avons pas fournit le certificat de son émetteur. En fournissant ce dernier nous accepterions l'ensemble de la chaîne car les amis de mes amis sont aussi mes amis. Il nous faut donc reconnaitre le maillon racine comme sûre pour que toute sa descendance soit elle aussi réputée comme sûre. to:
Dans notre exemple, nous avons une erreur sur le certificat Thawte SGC CA car nous n'avons pas fournit le certificat de son émetteur. Attention, en fournissant le certificat racine nous accepterons d'office l'ensemble des certificats qu'il a émis et émettra sur la base du principe suivant : les amis de mes amis sont aussi mes amis.
Changed lines 89-91 from:
Cette méthode est la plus simple mais se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête. to:
Cette méthode se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête. Added line 98:
Changed lines 100-101 from:
Le fichier concernant Class 3 Public Primary Certification Authority que nous cherchons est PCA3ss_v4. Nous devons encore convertir par to:
Le fichier concernant Class 3 Public Primary Certification Authority que nous cherchons s'appelle PCA3ss_v4. Changed line 142 from:
Verify return code: 0 (ok) to:
Verify return code: 0 (ok)
Changed lines 147-148 from:
to:
Changed lines 154-155 from:
Le nom des certificats du répertoire est obtenu par hash de la valeur du CN to:
Le nom des certificats du répertoire sont obtenus par hash de la valeur de leurs CN Changed lines 171-172 from:
to:
Changed lines 1-2 from:
Il est possible d'obtenir lors que la requête à https:\\www.google.com d'obtenir l'ensemble de la chaine de certification grâce à l'option -showcerts to:
Grâce à l'option -showcerts, il est possible d'afficher les certificats retournés par le serveur lors de la requête. Changed line 9 from:
verify error:num=20:unable to get local issuer certificate\\ to:
verify error:num=20:unable to get local issuer certificate\\ Changed lines 81-83 from:
Pour éviter cela, lors de la requête il faut indiquer quelles sont les CA acceptées. to:
Dans notre exemple, nous avons une erreur sur le certificat Thawte SGC CA car nous n'avons pas fournit le certificat de son émetteur. En fournissant ce dernier nous accepterions l'ensemble de la chaîne car les amis de mes amis sont aussi mes amis. Il nous faut donc reconnaitre le maillon racine comme sûre pour que toute sa descendance soit elle aussi réputée comme sûre. Changed lines 85-89 from:
Cette méthode est la plus simple car il suffit alors d'indiquer qu'elle est la CA trustée. to:
Cette méthode est la plus simple mais se limite à une seule CA qu'il faut de plus sélectionner avant de faire la requête. Changed lines 89-90 from:
OpenSSL> x509 -inform der -in "D:\temp\VeriSign - Thawte Combined Roots\VeriSign_Roots\PCA3ss_v4.509" BEGIN CERTIFICATE----- to:
depth=1 /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA La seule méthode consiste à télécharger les root CA de Verisign (et Thawte car acheté fin 1999 par Verisign) à l'adresse https://www.verisign.com/support/roots.html. OpenSSL> x509 -inform der -in "C:\VeriSign - Thawte Combined Roots\VeriSign_Roots\PCA3ss_v4.509" Changed lines 111-120 from:
AA9WjQKZ7aKQRUzkuxCkPfAyAw7xzvjoyVGM5mKf5p/AfbdynMk2OmufTqj/ZA1k END CERTIFICATE----- OpenSSL> to:
AA9WjQKZ7aKQRUzkuxCkPfAyAw7xzvjoyVGM5mKf5p/AfbdynMk2OmufTqj/ZA1k La requête se fait alors par OpenSSL> s_client -CAfile PCA3ss_v4.crt -showcerts -connect www.google.com:443 Protocol : TLSv1 Cipher : AES256-SHA Session-ID: 30972D8B1DAFDA917A649AE3E6D9170CCDC2A8BD0278189F9B0FFC0F0080D30E Session-ID-ctx: Master-Key: B74F5E6C2395B04303CE0B745D5DD5DA0B9ADE3D5B4111E3ECC02B42F99A611B63A400F176DFD216BB3D64382C89260F Key-Arg : None Start Time: 1169412087 Timeout : 300 (sec) Verify return code: 0 (ok) --- Méthode avec -CApath
Cette méthode permet de s'affranchir de la sélection d'un certificat particulier en fournissant une liste de certificats racines. Le nom des certificats du répertoire est obtenu par hash de la valeur du CN OpenSSL> x509 -noout -hash -in PCA3ss_v4.crt Reste à renommer le certificat et à ajouter un suffixe commençant à zéro pour traiter l'éventualité d'une collisions des hash. OpenSSL> s_client -CApath C:\TrustedCA\ -showcerts -connect www.google.com:443 Added lines 1-113:
Il est possible d'obtenir lors que la requête à https:\\www.google.com d'obtenir l'ensemble de la chaine de certification grâce à l'option -showcerts OpenSSL> s_client -showcerts -connect www.google.com:443 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com i:/C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA -----BEGIN CERTIFICATE----- Cipher : AES256-SHA Session-ID: FB832C23E220FBE594FB3BB02EDA46E0A24003E75AC0D59A29070F84B0818F2F --- Pour éviter cela, lors de la requête il faut indiquer quelles sont les CA acceptées. Méthode avec -CAfile
Cette méthode est la plus simple car il suffit alors d'indiquer qu'elle est la CA trustée. OpenSSL> x509 -inform der -in "D:\temp\VeriSign - Thawte Combined Roots\VeriSign_Roots\PCA3ss_v4.509" BEGIN CERTIFICATE----- MIICPDCCAaUCEHC65B0Q2Sk0tjjKewPMur8wDQYJKoZIhvcNAQECBQAwXzELMAkG A1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMTcwNQYDVQQLEy5DbGFz cyAzIFB1YmxpYyBQcmltYXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTk2 MDEyOTAwMDAwMFoXDTI4MDgwMTIzNTk1OVowXzELMAkGA1UEBhMCVVMxFzAVBgNV BAoTDlZlcmlTaWduLCBJbmMuMTcwNQYDVQQLEy5DbGFzcyAzIFB1YmxpYyBQcmlt YXJ5IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIGfMA0GCSqGSIb3DQEBAQUAA4GN ADCBiQKBgQDJXFme8huKARS0EN8EQNvjV69qRUCPhAwL0TPZ2RHP7gJYHyX3KqhE BarsAx94f56TuZoAqiN91qyFomNFx3InzPRMxnVx0jnvT0Lwdd8KkMaOIG+YD/is I19wKTakyYbnsZogy1Olhec9vn2a/iRFM9x2Fe0PonFkTGUugWhFpwIDAQABMA0G CSqGSIb3DQEBAgUAA4GBALtMEivPLCYATxQT3ab7/AoRhIzzKBxnki98tsX63/Do lbwdj2wsqFHMc9ikwFPwTtYmwHYBV4GSXiHx0bH/59AhWM1pF+NEHJwZRDmJXNyc AA9WjQKZ7aKQRUzkuxCkPfAyAw7xzvjoyVGM5mKf5p/AfbdynMk2OmufTqj/ZA1k END CERTIFICATE----- OpenSSL> |