Utilisation de certificats X.509 avec OpenSSH

Magazine
Marque
GNU/Linux Magazine
Numéro
138
Mois de parution
mai 2011


Résumé
Cet article propose de mettre en œuvre le patch développé par Roumen PETROV [1] pour ajouter le support des certificats X.509 dans le processus d'authentification de OpenSSH. Dans ce cas là, l'identité du client et/ou du serveur est vérifiable en local avec un fichier CRL (Certificate Revocation List) fourni par l'autorité de certification, ou encore à distance en utilisant un serveur OCSP (Online Certificate Status Protocol) ou un annuaire LDAP.Mots-clés : OpenSSH, X.509, OCSP, LDAP

1. Introduction

Le support des certificats X.509 dans SSH (SECSH-X509) est toujours sous forme de « draft » depuis novembre 2009 [3]. La dernière version (draft-igoe-secsh-x509v3-07) sortie le 3 janvier 2011, a semble-t-il été approuvée par l'IETF (Internet Engineering Task Force) et attend d'être éditée sous forme de RFC (Requests For Comments). Cependant, depuis 2002, Roumen PETROV fournit un patch [1] permettant d'utiliser des certificats X.509 dans OpenSSH [2].

Avant d'entrer dans le vif de cet article, il faut pouvoir disposer d'une autorité de certification (CA) et de différents certificats valides et révoqués. Plusieurs solutions sont possibles, comme mettre en place une PKI (Public Key Infrastructure) avec EJBCA [4] (voir GLMF n° 120 d'octobre 2009), ou bien avec OpenCA [7] ou encore se servir d'outils comme OpenSSL [9] ou certutil [10].

Comme la plupart des distributions Linux intègrent nativement OpenSSL, j'ai écrit un makefile utilisant cette librairie qui...

Cet article est réservé aux abonnés. Il vous reste 98% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite