Éléments
| Élément | Rappel |
|---|---|
CA racine | Ancre de confiance, idéalement hors ligne |
CA émettrice | Délivre les certificats |
CRL | Liste des certificats révoqués |
OCSP | Vérification en ligne de révocation |
AIA | Emplacement du certificat de l’émetteur |
CDP | Emplacement de publication de la CRL |
Commandes
openssl x509 -in certificat.pem -text -nooutLire un certificatopenssl s_client -connect serveur:443 -servername serveurVoir la chaîne TLScertutil -verify certificat.cerVérifier sous Windows🚨 Réflexe TSSR
- Vérifier date et heure
- Vérifier la chaîne de confiance
- Vérifier expiration
- Vérifier CRL ou OCSP
- Vérifier AIA et CDP accessibles
- Vérifier le nom DNS dans le certificat
💡 À retenir
Un certificat valide doit être dans sa période de validité, correspondre au nom utilisé et chaîner vers une racine de confiance.
⚠ Pièges fréquents
Installer uniquement le certificat serveur sans la chaîne intermédiaire.
✔ Vérification
openssl x509 -in certificat.pem -text -nooutCommande de vérificationopenssl s_client -connect serveur:443 -servername serveurCommande de vérificationcertutil -verify certificat.cerCommande de vérification🎯 Ce que le jury attend
- Expliquer racine et émettrice
- Lire un certificat
- Expliquer révocation
- Vérifier la chaîne