PKI et certificats

Chaîne de confiance, CA, CRL et AIA.

Éléments

ÉlémentRappel
CA racineAncre de confiance, idéalement hors ligne
CA émettriceDélivre les certificats
CRLListe des certificats révoqués
OCSPVérification en ligne de révocation
AIAEmplacement du certificat de l’émetteur
CDPEmplacement de publication de la CRL

Commandes

openssl x509 -in certificat.pem -text -nooutLire un certificat
openssl s_client -connect serveur:443 -servername serveurVoir la chaîne TLS
certutil -verify certificat.cerVérifier sous Windows

🚨 Réflexe TSSR

  • Vérifier date et heure
  • Vérifier la chaîne de confiance
  • Vérifier expiration
  • Vérifier CRL ou OCSP
  • Vérifier AIA et CDP accessibles
  • Vérifier le nom DNS dans le certificat

💡 À retenir

Un certificat valide doit être dans sa période de validité, correspondre au nom utilisé et chaîner vers une racine de confiance.

⚠ Pièges fréquents

Installer uniquement le certificat serveur sans la chaîne intermédiaire.

✔ Vérification

openssl x509 -in certificat.pem -text -nooutCommande de vérification
openssl s_client -connect serveur:443 -servername serveurCommande de vérification
certutil -verify certificat.cerCommande de vérification

🎯 Ce que le jury attend

  • Expliquer racine et émettrice
  • Lire un certificat
  • Expliquer révocation
  • Vérifier la chaîne