Skip to content

Vérification de certificats

Comment afficher les informations de mon certificat?

Pour afficher les champs d'un certificat, il suffit de taper dans une console la commande suivante :

openssl x509 -in mon_certificat.crt -text

En remplaçant mon_certificat.crt par le chemin vers votre certificat.

Quel est le résultat obtenu ?

Le résultat se présente sous la forme :

Certificate:

    Data:
    Version: 3 (0x2)
       Serial Number: 16 (0x10)
       Signature Algorithm: sha256WithRSAEncryption
       Issuer: CN = Mediacert Root CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
       Validity
           Not Before: Apr 15 09:26:48 2021 GMT
           Not After : Apr 23 09:26:48 2031 GMT
       Subject: CN = Mediacert Trust CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               RSA Public-Key: (4096 bit)
               Modulus: (...)
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Subject Key Identifier:
               82:67:94:53:50:31:7D:85:CA:3B:E0:63:E7:B8:AC:AD:32:37:CB:4C
           X509v3 Authority Key Identifier:
               keyid:36:17:BE:65:64:FC:D2:21:DC:96:55:BD:E6:D1:EA:AF:36:16:9B:7E
           X509v3 Basic Constraints:
               CA:TRUE
           X509v3 Key Usage: critical
               Certificate Sign, CRL Sign
           X509v3 CRL Distribution Points:
               Full Name:
               URI:http://www.mediacert.com/rootCA2021/rootCA2021.crl
           Authority Information Access:
               CA Issuers - URI:http://www.mediacert.com/rootCA2021/rootCA2021.crt
           X509v3 Certificate Policies:
               Policy: X509v3 Any Policy
               CPS: https://www.mediacert.com
   Signature Algorithm: sha256WithRSAEncryption_

Quels sont les champs principaux à vérifier/contrôler?

Les sections suivantes sont à vérifier/contrôler avant l'utilisation d'un certificat : - Validity : le certificat peut être utilisé entre les dates Not Before et Not After.

  • Issuer : l'Issuer doit être parmi les suivants :

    • CN = Mediacert OTU CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert OTU LCP CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert ORG CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert ORG NCP CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert PERM CA 2021, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert OTU CA 2021 S2, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert OTU LCP CA 2021 S2, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert ORG CA 2021 S2, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert ORG NCP CA 2021 S2, O = Worldline France, OU = 0002 509750105, C = FR
    • CN = Mediacert PERM CA 2021 S2, O = Worldline France, OU = 0002 509750105, C = FR

  • Subject : Le subject doit contenir l'identité du propriétaire du certificat, soit le nom et prénom de la personne, soit le nom de l'Organisation.

  • CRL Distribution Points : vérifier que le certificat n'a pas été révoqué.

Pour plus de d'information ou de support, voir :

• https://www.openssl.org/ • https://wiki.openssl.org/index.php/Binaries

Vérification d'un jeton d'horodatage

Pour vérifier un jeton d'horodatage, il faut effectuer à minima les contrôles ci-dessous:

  • OID : doit être celui de la PH du TSP Mediacert

  • Issuer : doit être CN = Mediacert Timestamp CA 2021, O = Worldline France, OU = 0002 509750105, C = FR

  • Contrôle du certificat d'horodatage en vérifiant :

    • CRL Distribution Points : vérifier que le certificat d'UH n'a pas été révoqué (n'est pas dans la CRL)

    • dates : vérifier que le certificat d'UH n'est pas expiré

Quelle commande utiliser ?

openssl ts -verify -queryfile mon_jeton.tsq -in mon_jeton.tsr -CAfile "chaine_de_certificat.pem"