Rapport sur les tests effectués entre écoles


Janvier 2004
Version 1.0

Le module de vérification de certificats permet de vérifier des certificats locaux et des certificats distants, comme le confirment les traces suivantes.
 
 

1. Tests sur un certificat d'utilisateur local (certificat de l'INT testé depuis l'INT):

Le client demande à vérifier un certificat de l'INT :

./clt CertUserINT.der http://pivert:8000
cr = 0

Le retour cr=0 indique que le certificat est vérifié et valide.

Le module de vérification en écoute sur le port 8000 (programme simple) retourne l'information que la recherche de l'autorité de certification par DNS s'est bien passée et que l'autorité est localement reconnue :

./simple ./srv /srv/ca/OpenCA/var/crypto/cacerts/cacert.pem /srv/ca/OpenCA/var/crypto/certs/ /srv/ca/OpenCA/var/crypto/crls/cacrl.pem
trust_dnssec: FQDN=int-evry.caddisc.enst.idsa.prd.fr
 
 

2. Tests sur un certificat de l'autorité de certification locale (celle de l'INT):

Côté client :
./clt ../scvpVIEUX/cacert.der http://pivert:8000
cr = 0

Côté serveur :
./simple ./srv /srv/ca/OpenCA/var/crypto/cacerts/cacert.pem /srv/ca/OpenCA/var/crypto/certs/ /srv/ca/OpenCA/var/crypto/crls/cacrl.pem
trust_dnssec: FQDN=int-evry.caddisc.enst.idsa.prd.fr

Ceci montre que le certificat de l'autorité est connue et de confiance.
 
 

3. Tests sur un certificat d'un utilisateur distant (certificat de l'ENST-Bretagne testé depuis l'INT):

Côté client :
./clt CertUserENSTB.der http://pivert:8000
cr = 0

Côté serveur :
./simple ./srv /srv/ca/OpenCA/var/crypto/cacerts/cacert.pem /srv/ca/OpenCA/var/crypto/certs/ /srv/ca/OpenCA/var/crypto/crls/cacrl.pem
LDAP search on [89]ldap://crypto.armor.irisa.fr:9009/CN=Enst-B Root CA;ou=PKI-CA;o=Enst-B;c=FR?cACertificate
URL Parse:
scheme = ldap
host = crypto.armor.irisa.fr, port=9009
dn/base = CN=Enst-B Root CA;ou=PKI-CA;o=Enst-B;c=FR
attr[0] = cACertificate
scope = 0
critical = 0
1 entries
DN = cn=Enst-B root CA,ou=PKI-CA,o=Enst-B,c=FR
Attr = cACertificate;binary
Added CERT
trust_dnssec: FQDN=enst-b.caddisc.enst.idsa.prd.fr
LDAP search on [101]ldap://crypto.armor.irisa.fr:9009/CN=Enst-B Root CA;ou=PKI-CA;o=Enst-B;c=FR?certificateRevocationList
URL Parse:
scheme = ldap
host = crypto.armor.irisa.fr, port=9009
dn/base = CN=Enst-B Root CA;ou=PKI-CA;o=Enst-B;c=FR
attr[0] = certificateRevocationList
scope = 0
critical = 0
1 entries
DN = cn=Enst-B root CA,ou=PKI-CA,o=Enst-B,c=FR
Attr = certificateRevocationList;binary
Added CRL

Le module de vérification de certificats interroge le serveur LDAP de l'ENST-Bretagne (crypto.armor.irisa.fr:9009/) et récupère le certificat de l'autorité racine. Il vérifie ensuite que ce même certificat de l'autorité est présent dans le serveur DNS de l'ENST-Bretagne (enst-b.caddisc.enst.idsa.prd.fr).Toute la confiance dans le certificat racine repose sur la hiérarchie DNS sécurisée par DNSsec. Il vérifie également que le certificat de l'utilisateur n'appartient pas à la CRL gérée par l'autorité de certification et précisée dans le certificat.