Utilisation de certificats X.509 avec OpenSSH

Magazine
Marque
GNU/Linux Magazine
Numéro
138
Mois de parution
mai 2011


Résumé
Cet article propose de mettre en œuvre le patch développé par Roumen PETROV [1] pour ajouter le support des certificats X.509 dans le processus d'authentification de OpenSSH. Dans ce cas là, l'identité du client et/ou du serveur est vérifiable en local avec un fichier CRL (Certificate Revocation List) fourni par l'autorité de certification, ou encore à distance en utilisant un serveur OCSP (Online Certificate Status Protocol) ou un annuaire LDAP.Mots-clés : OpenSSH, X.509, OCSP, LDAP

1. Introduction

Le support des certificats X.509 dans SSH (SECSH-X509) est toujours sous forme de « draft » depuis novembre 2009 [3]. La dernière version (draft-igoe-secsh-x509v3-07) sortie le 3 janvier 2011, a semble-t-il été approuvée par l'IETF (Internet Engineering Task Force) et attend d'être éditée sous forme de RFC (Requests For Comments). Cependant, depuis 2002, Roumen PETROV fournit un patch [1] permettant d'utiliser des certificats X.509 dans OpenSSH [2].

Avant d'entrer dans le vif de cet article, il faut pouvoir disposer d'une autorité de certification (CA) et de différents certificats valides et révoqués. Plusieurs solutions sont possibles, comme mettre en place une PKI (Public Key Infrastructure) avec EJBCA [4] (voir GLMF n° 120 d'octobre 2009), ou bien avec OpenCA [7] ou encore se servir d'outils comme OpenSSL [9] ou certutil [10].

Comme la plupart des distributions Linux intègrent nativement OpenSSL, j'ai écrit un makefile utilisant cette librairie qui...

Cet article est réservé aux abonnés. Il vous reste 98% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Par le(s) même(s) auteur(s)

Sécurisez vos noms de domaine avec DNSSEC

Magazine
Marque
GNU/Linux Magazine
Numéro
225
Mois de parution
avril 2019
Spécialité(s)
Résumé

Le service DNS (Domain Name System) est depuis les années 1980 un des composants essentiels du fonctionnement d’Internet, car il permet notamment la conversion d’un nom de domaine en adresse IP (et l’inverse également). Il a été la cible de plusieurs attaques comme l’usurpation d’identité DNS (DNS ID Spoofing [1]) et la pollution de cache (DNS cache poisoning [1] [2]). Avec la mise en place d’une zone racine « signée » en janvier 2010 ([3]), il est désormais possible de vérifier les données reçues par le système DNS en activant DNSSEC (Domain Name System Security Extensions [4]). Je vous propose donc de voir comment mettre en œuvre tout cela.

Installation sans écran de Slackware sur un Raspberry Pi 3

Magazine
Marque
GNU/Linux Magazine
Numéro
207
Mois de parution
septembre 2017
Spécialité(s)
Résumé
Vous venez d'acheter un Raspberry Pi 3 et vous n'avez pas d'écran avec un connecteur HDMI à portée de main pour installer/paramétrer votre petit « jouet ». Qu'à cela ne tienne, un câble Ethernet suffira ! Je vous propose également de voir comment on peut utiliser un autre système Linux que la distribution de référence Raspbian, en installant par exemple une Slackware.

Les derniers articles Premiums

Les derniers articles Premium

Générez votre serveur JEE sur-mesure avec Wildfly Glow

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Et, si, en une ligne de commandes, on pouvait reconstruire son serveur JEE pour qu’il soit configuré, sur mesure, pour les besoins des applications qu’il embarque ? Et si on pouvait aller encore plus loin, en distribuant l’ensemble, assemblé sous la forme d’un jar exécutable ? Et si on pouvait même déployer le tout, automatiquement, sur OpenShift ? Grâce à Wildfly Glow [1], c’est possible ! Tout du moins, pour le serveur JEE open source Wildfly [2]. Démonstration dans cet article.

Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Pour être visible sur le Web, un site est indispensable, cela va de soi. Mais il est impossible d’en évaluer le succès, ni celui de ses améliorations, sans établir de statistiques de fréquentation : combien de visiteurs ? Combien de pages consultées ? Quel temps passé ? Comment savoir si le nouveau design plaît réellement ? Autant de questions auxquelles Plausible se propose de répondre.

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous