#1 Le 06/08/2021, à 19:05
- denebe
Lecture certificat .der impossible ??
Bonjour,
j'ai une machine virtuelle sous Ubuntu 20.04 (machine1) avec laquelle je ne peux lire aucun certificat, alors que ces mêmes certificats sont lisibles sur deux autres machines virtuelles (Ubuntu 20.04 aussi, et Leap 15.3, appelée respectivement machine 2 et machine 3 si nécessaire).
J'ai créé un simple certificat sur la machine 1 comme ceci avec 'pki' (pour travailler avec 'strongswan', l'implémentation IPSec pour linux):
1) création de la clé privée
pki --gen > caKey.der2) création du certificat auto-signé
pki --self --in caKey.der --dn "CN=strongswan.ca" --ca > caCert.derSource: https://wiki.strongswan.org/projects/st … i/SimpleCA
Je ne peux ouvrir aucun certificat sur la machine 1, malgré les avoir créés sur cette machine (Ubuntu 20.04). En cliquant dessus j'obtiens:
Le type de fichier inconnu (application/octet-stream) n’est pas pris en chargeJ'ai aussi essayé de l'ouvrir avec openssl (le certificat est différent dans l'exemple, mais le résultat est identique):
root@thierry-VirtualBox:/etc/ipsec.d/cacerts# openssl x509 -in /etc/ipsec.d/certs/moonselfcert.der -text -noout
unable to load certificate
140513786578240:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATECe n'est pas une histoire de droit, j'ai changé le propriétaire du fichier, ça n'a rien changé.
3) Pour tester, j'ai déplacé le certificat 'caCert.der' avec la commande scp vers la machine 2 (Ubuntu 20.04) et aussi la machine 3 ( Leap 15.3).
C'est marrant ça, je peux lire ce certificat sans problème ???
Je ne vois pas d'où cela peux venir, Hilfe !!
4) En fait je ne peux lire aucun certificat avec la machine 1 (Ubuntu 20.04), les plus anciens .crt , que j'avais créés pour travailler avec OpenVPN, et les plus récents.
Le lecteur est "Visionneur de documents 3.36.10".
Merci pour votre aide. 
======================================================
Le certificat caCert.der est identifié par 'ipsec' et son contenu peut être lu par ipsec:
root@thierry-VirtualBox:~# ipsec listcacerts
List of X.509 CA Certificates
subject: "CN=strongswan.ca"
issuer: "CN=strongswan.ca"
validity: not before Aug 06 15:45:41 2021, ok
not after Aug 05 15:45:41 2024, ok (expires in 1094 days)
serial: 12:05:38:58:f9:f9:2a:af
flags: CA CRLSign self-signed
subjkeyId: c7:cc:b9:6b:fa:dd:86:22:41:71:67:f5:e0:f6:48:0d:04:a7:ee:47
pubkey: RSA 2048 bits
keyid: 66:80:d4:65:b2:0f:e9:d2:5e:d2:e8:04:5d:8b:ab:8b:ee:5d:37:f9
subjkey: c7:cc:b9:6b:fa:dd:86:22:41:71:67:f5:e0:f6:48:0d:04:a7:ee:47Mais pas par la visioneuse de document sur la machine 1. 
Dernière modification par denebe (Le 07/08/2021, à 09:58)
Opensuse Leap 15.3 Plasma 5.18.6
Dimensions Moebius transf.
Sésamath
Hors ligne
#2 Le 07/08/2021, à 02:54
- jplemoine
Re : Lecture certificat .der impossible ??
Les 2 commandes pour voir le contenu sont :
openssl x509 -inform der -in caKey.der -text -noout
openssl rsa -inform der -in caKey.der -text -nooutIl faut croire que la visionneuse de document n'est pas configuré pareil.
Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.
Hors ligne
#3 Le 07/08/2021, à 10:26
- denebe
Re : Lecture certificat .der impossible ??
Bonjour,
Merci pour ton aide, ça m'a fait avancer…
J'avais aussi pensé à un fichier de configuration de la visionneuse. Je ne connais pas bien gnome, j'ai un peu cherché au doigt mouillé dans les fichiers (cachés) de configuration, sans rien trouver.
Il a du nouveau avec openssl.
thierry@thierry-VirtualBox:~/pki-strongswan$ ls
caCert.der caKey.der mooncacert.der mooncakey.der suncacert.der suncakey.der sunselfcert.der sunselfkey.derlecture du certificat:
thierry@thierry-VirtualBox:~/pki-strongswan$ openssl x509 -inform der -in caCert.der -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1298506022368389807 (0x12053858f9f92aaf)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = strongswan.ca
Validity
Not Before: Aug 6 13:45:41 2021 GMT
Not After : Aug 5 13:45:41 2024 GMT
Subject: CN = strongswan.ca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public-Key: (2048 bit)
Modulus:
00:c9:32:d8:1e:8e:9e:5b:e5:24:1b:07:d7:5a:e1:
87:fc:bd:9b:f6:68:4b:78:e6:01:13:0d:66:39:9c:
a3:21:01:b8:5b:6e:ca:63:df:8b:84:e5:81:43:89:
64:17:e5:08:0e:cb:02:a8:45:86:7a:54:49:85:26:
f1:5f:e9:bf:ef:81:14:d2:84:6e:76:c8:23:0b:b0:
2b:b5:62:f2:09:92:17:b8:e0:57:ca:38:d6:0c:16:
8a:31:66:ee:a1:63:cb:1c:5f:9f:2b:2c:4e:62:af:
70:e5:dc:87:da:58:1b:cd:cf:04:a6:6b:6c:4d:6f:
f3:ec:76:27:48:93:10:58:1e:2e:5c:8f:0b:15:70:
af:8b:68:28:2d:40:cf:f1:ca:15:4f:e4:27:eb:7c:
6c:86:ed:9f:75:e3:bf:8d:53:26:ca:d3:17:9b:e4:
1c:95:bf:71:79:12:79:be:37:70:ff:b3:54:85:07:
52:9c:33:43:95:ba:3b:71:4c:e0:67:77:16:a0:b0:
53:06:5e:15:1a:54:c8:61:9c:68:f5:20:78:26:5a:
6d:e9:d7:39:10:e3:36:8a:ec:31:dd:27:0f:6f:ce:
a0:56:40:b4:6b:fe:9e:6a:03:c0:d2:c1:57:6d:f4:
a4:51:c7:68:e4:f1:8f:05:50:5f:08:20:5d:75:f2:
66:0f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
C7:CC:B9:6B:FA:DD:86:22:41:71:67:F5:E0:F6:48:0D:04:A7:EE:47
Signature Algorithm: sha256WithRSAEncryption
15:ad:f7:41:cf:83:74:29:e3:74:8f:5a:f3:f2:4f:bb:93:bf:
70:a2:bc:21:f7:ad:3b:7f:e8:19:52:aa:7a:7e:55:b9:e2:6a:
5f:3d:1d:27:b7:9a:3c:11:98:a1:ed:f2:b5:76:1f:a1:8d:76:
09:6b:f2:17:9c:af:9a:c5:6a:e3:95:1f:24:5f:1d:dc:21:c2:
44:c0:25:07:21:0e:b7:90:d9:0d:52:15:f6:29:6e:ff:ee:ac:
3a:16:b6:61:7b:e3:f1:e6:b1:6a:4f:9f:75:98:4b:b2:71:86:
85:a8:9b:7c:d1:88:68:95:75:d7:38:20:64:a0:da:f4:4b:a1:
6b:e9:8c:fb:83:42:6d:3e:85:73:aa:ff:38:2a:85:4e:25:ab:
3f:cc:30:bc:9c:d3:0c:43:36:fc:aa:14:d6:bb:34:07:03:28:
d5:6a:87:9a:e6:0c:e7:a2:23:fd:02:2a:82:3a:81:63:24:40:
84:9c:00:cf:2f:f7:5b:ad:e5:15:4b:64:09:cd:f1:75:1e:03:
ad:77:21:73:75:00:fe:58:87:32:be:69:57:9d:d3:25:58:ed:
eb:14:d9:b1:6d:7a:69:2f:8d:16:87:76:a8:5a:16:c6:e1:30:
dd:b0:12:af:8a:20:c0:e4:64:87:ef:cb:f3:6d:7e:de:c6:6e:
fa:14:dc:00lecture de la clé:
thierry@thierry-VirtualBox:~/pki-strongswan$ openssl rsa -inform der -in caKey.der -text -noout
RSA Private-Key: (2048 bit, 2 primes)
modulus:
00:c9:32:d8:1e:8e:9e:5b:e5:24:1b:07:d7:5a:e1:
87:fc:bd:9b:f6:68:4b:78:e6:01:13:0d:66:39:9c:
a3:21:01:b8:5b:6e:ca:63:df:8b:84:e5:81:43:89:
64:17:e5:08:0e:cb:02:a8:45:86:7a:54:49:85:26:
f1:5f:e9:bf:ef:81:14:d2:84:6e:76:c8:23:0b:b0:
2b:b5:62:f2:09:92:17:b8:e0:57:ca:38:d6:0c:16:
8a:31:66:ee:a1:63:cb:1c:5f:9f:2b:2c:4e:62:af:
70:e5:dc:87:da:58:1b:cd:cf:04:a6:6b:6c:4d:6f:
f3:ec:76:27:48:93:10:58:1e:2e:5c:8f:0b:15:70:
af:8b:68:28:2d:40:cf:f1:ca:15:4f:e4:27:eb:7c:
6c:86:ed:9f:75:e3:bf:8d:53:26:ca:d3:17:9b:e4:
1c:95:bf:71:79:12:79:be:37:70:ff:b3:54:85:07:
52:9c:33:43:95:ba:3b:71:4c:e0:67:77:16:a0:b0:
53:06:5e:15:1a:54:c8:61:9c:68:f5:20:78:26:5a:
6d:e9:d7:39:10:e3:36:8a:ec:31:dd:27:0f:6f:ce:
a0:56:40:b4:6b:fe:9e:6a:03:c0:d2:c1:57:6d:f4:
a4:51:c7:68:e4:f1:8f:05:50:5f:08:20:5d:75:f2:
66:0f
publicExponent: 65537 (0x10001)
privateExponent:
00:b7:81:96:38:98:9f:ba:f5:0d:af:51:c1:8b:f4:
73:d1:83:26:c2:e1:71:24:bd:b3:71:2b:21:77:9e:
73:f2:e0:dc:c3:18:13:a4:6f:f9:92:a6:b8:f5:5e:
54:5a:ae:dc:60:91:ac:c4:c9:54:d4:32:18:34:47:
c6:93:52:61:6b:12:f2:68:e7:bc:d0:bd:cd:a9:15:
6f:68:2a:ec:d2:e9:da:95:16:99:3b:aa:07:20:53:
56:8b:a4:74:35:e3:0d:17:bd:e7:30:bb:62:6b:03:
d5:16:f1:c3:3e:d4:69:d7:96:df:88:e2:25:8f:a3:
72:78:d3:73:14:f0:7d:51:bf:e5:9d:9c:ad:7c:7d:
0b:66:13:9f:1e:07:f3:1a:19:05:b7:4f:62:78:42:
cd:dd:da:9c:61:ac:fa:69:66:4d:d4:e6:c2:7c:5e:
2f:62:ea:80:33:91:78:86:2d:25:a9:77:02:9d:c3:
1d:21:3d:2f:14:81:32:20:80:fe:02:8d:09:c5:bf:
fe:60:a4:de:59:c5:79:7f:ec:47:b2:e9:af:fe:0c:
20:61:17:88:18:85:a3:b1:08:3b:60:2d:c6:7b:c6:
58:a5:cd:81:5c:36:ce:60:48:74:76:58:f6:68:af:
4d:1b:d7:00:53:32:81:36:4c:83:82:d5:a7:e4:19:
22:71
prime1:
00:f8:69:62:dc:2f:23:6a:16:82:9c:d9:be:6a:2b:
dd:fe:56:82:0b:c7:73:b0:27:a3:3a:f2:ff:cc:77:
b1:80:11:7f:c0:94:2e:97:e9:08:bd:a7:0a:05:91:
2e:f4:ad:d2:a3:92:04:09:21:1d:38:fb:31:9d:89:
69:72:af:55:2a:e2:67:03:23:67:7f:3e:fe:75:21:
ad:10:08:2d:77:ae:c1:ba:87:3b:6a:7a:f8:ac:27:
6a:94:af:d8:1d:f6:46:4f:fd:96:56:62:10:2c:6e:
e0:d5:f5:f0:20:aa:f1:d5:f6:a1:36:ac:db:ff:47:
33:69:4c:94:80:1b:15:02:25
prime2:
00:cf:58:3e:d1:36:72:a6:ed:a6:6b:53:9d:bb:ec:
fb:16:c2:32:ee:7a:a4:dc:44:87:95:90:b3:6f:02:
8b:52:f4:ae:be:fe:97:a6:ac:e4:df:f1:08:87:cf:
4d:1d:27:47:32:03:2b:30:b9:87:28:46:b5:a4:b9:
ae:46:e0:51:5b:13:58:00:62:f4:1f:6f:46:3d:fb:
e4:0a:da:86:fa:29:fd:dd:fe:6a:ce:82:1f:49:5f:
78:e4:77:79:13:18:bc:d8:48:1f:ea:a7:20:65:b3:
ab:89:17:66:5a:d7:70:ef:51:f5:35:74:be:02:c2:
0d:f1:f9:9f:f2:a8:9c:3f:23
exponent1:
42:ed:59:d6:4a:d8:f6:c7:33:cf:80:96:dd:d2:0d:
d0:6d:8c:42:12:2d:a8:23:35:c6:37:1c:16:01:95:
90:14:a6:df:c2:cc:be:de:e9:1c:f7:b9:2a:80:d0:
2e:d9:fa:2b:59:b6:be:a2:ee:55:a0:cf:e0:4a:da:
5f:2c:bf:fc:7a:dd:18:2a:5c:c3:1a:bc:c1:e0:1d:
d9:78:ea:8f:19:45:56:b5:02:9c:10:9f:98:fa:51:
ab:d7:a8:99:81:f5:b5:ad:73:e8:b8:28:f5:5f:b6:
31:cf:3e:2f:fe:fe:83:10:1c:a5:37:73:5a:56:db:
92:1e:30:d0:46:fb:a5:05
exponent2:
00:8f:55:c8:af:26:3d:a2:0a:1d:86:8a:5a:3b:44:
7a:db:63:ca:83:b3:c2:ee:06:6d:d8:46:1c:d4:bb:
e4:86:a7:61:79:e5:53:fe:c3:fc:c0:96:c6:b7:e3:
e5:c2:26:9a:00:07:d2:be:af:32:b0:f4:18:b3:d4:
2c:97:10:91:0d:2d:d5:23:07:45:0d:ca:05:bb:e9:
ba:de:89:ec:cf:59:62:07:29:ce:ba:0d:98:05:47:
fb:b1:ac:a9:c5:3a:cf:a9:90:4a:88:13:9a:c0:d3:
b0:dc:67:91:b9:70:bf:c0:a1:5e:aa:e2:96:4c:1f:
cc:36:1f:c3:a3:a3:4d:c8:13
coefficient:
00:bb:b3:79:87:aa:b3:83:3e:31:9f:95:74:e3:8c:
8b:48:4e:48:0e:02:e6:d5:97:bb:8f:62:03:22:ef:
a1:99:5b:68:06:c7:55:c7:34:c4:eb:ef:7b:d6:de:
35:8e:3b:db:66:e6:c4:06:8d:8b:cd:56:d4:14:19:
b5:ce:e2:6c:1b:b1:b3:f7:d7:c2:25:f1:80:32:c1:
b1:d4:8b:87:8a:32:f3:68:95:b1:4b:06:a4:1c:6a:
50:8e:51:9d:ad:f1:58:92:6d:2b:e1:3f:3c:1b:eb:
63:9b:a7:13:a1:4c:bc:20:c9:fd:af:7c:fc:d4:76:
0f:be:28:45:29:80:dc:5e:32Questions:
1) openssl avec l'option RSA convient pour lire une clé RSA (pas pour un certificat, c.f. le code juste dessous) ?
2) openssl avec l'option x509 convient pour lire un certificat x509 (pas pour une clé), c'est bien ça ?
thierry@thierry-VirtualBox:~/pki-strongswan$ openssl rsa -inform der -in caCert.der -text -noout
unable to load Private Key
140168549852480:error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag:../crypto/asn1/tasn_dec.c:1149:
140168549852480:error:0D06C03A:asn1 encoding routines:asn1_d2i_ex_primitive:nested asn1 error:../crypto/asn1/tasn_dec.c:713:
140168549852480:error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 error:../crypto/asn1/tasn_dec.c:646:Field=version, Type=PKCS8_PRIV_KEY_INFO
140168549852480:error:0D0CF0A7:asn1 encoding routines:d2i_AutoPrivateKey:unsupported public key type:../crypto/asn1/d2i_pr.c:108:
thierry@thierry-VirtualBox:~/pki-strongswan$ openssl x509 -inform der -in caKey.der -text -noout
unable to load certificate
140445913990464:error:0D0680A8:asn1 encoding routines:asn1_check_tlen:wrong tag:../crypto/asn1/tasn_dec.c:1149:
140445913990464:error:0D07803A:asn1 encoding routines:asn1_item_embed_d2i:nested asn1 error:../crypto/asn1/tasn_dec.c:309:Type=X509_CINF
140445913990464:error:0D08303A:asn1 encoding routines:asn1_template_noexp_d2i:nested asn1 error:../crypto/asn1/tasn_dec.c:646:Field=cert_info, Type=X509Remarque:
Quand j'ai utilisé openssl tout seul (sans ton aide), il manquait l'option '-inform der' , je viens de réessayer la commande que j'avais utilisée hier (avec '-inform der' maintenant), j'arrive à lire mes certificats
root@thierry-VirtualBox:/home/thierry/pki-strongswan# openssl x509 -inform der -in /etc/ipsec.d/certs/moonselfcert.der -text -noout
…===================
Je continue de chercher voir ce qui peut dérouter evince…
Dernière modification par denebe (Le 07/08/2021, à 10:33)
Opensuse Leap 15.3 Plasma 5.18.6
Dimensions Moebius transf.
Sésamath
Hors ligne