SIGNIFLOW

Découvrez notre plateforme de signature : signez et faites signer vos PDFs en quelques clics !

SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
LES PRODUITS À DÉCOUVRIR

Les certificats SSL La signature de facture Les certificats eIDAS Les logiciels de signature

Menu
picture of tbs certificates
picture of tbs certificates
Les produits
TOUS LES CERTIFICATS
SSL Extended Validation SSL Standard Certificats RGS Certificats eIDAS SSL ECC SSL wildcard SSL Multisites / SAN SSL rapide & basique
Certificats spécifiques Certificats VMC
E-signature Authentification forte Certificats S/MIME
Certificats de test Solutions PKI Sceaux de confiance
SigniFlow : la plateforme pour signer et faire signer vos documents
Logiciel de signature
Notre gamme
TBS X509 DigiCert Thawte Sectigo GlobalSign GeoTrust Certigna ChamberSign SigniFlow Harica
Partenaires
Accès client Les comptes clients Ouvrir un compte
Support
FAQ SHA256 : Compatibilité navigateurs ECC : Compatibilité navigateurs
Numéro vert
Focus
Dématérialisation de facture
Nous proposons désormais des solutions répondant aux normes RGS** / eIDAS qualifié pour la signature et l'horodatage de vos factures. En savoir plus


Gestion des listes de révocation dans Apache

Ancienne méthode : les CRLs

Si vous faites de l'authentification par certificats clients, il faut vous assurer de la validité des certificats, et donc consulter la liste de révocation de chaque certificat accepté.

Si vous avez suivi nos conseils, vous avez déjà identifié le ou les émetteur (s) acceptable(s) avec l'instruction SSLCACertificateFile ou SSLCACertificatePath. Pour se faire, vous avez parcouru la chaine de certification, en partant du certificat émetteur de vos certificats (Certificats intermédiaires).
Vous allez reparcourir cette chaine en notant à chaque étape l'url de la CRL de chaque certificat. Par exemple si vous utilisez notre offre TBS X509 PKI PME votre certificat émetteur est TBS X509 CA persona 3. Vous obtiendrez donc la liste suivante:
http://crl.sectigo.com/TBSX509CAPersona3RSA.crl
http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl
Il va donc falloir mettre ces CRL à disposition d'Apache pour qu'il les vérifie. Pour se faire on va travailler dans le répertoire standard d'apache, le plus souvent /etc/httpd/conf/ssl.crl/

On utilise alors l'instruction Apache: 
SSLCARevocationPath conf/ssl.crl/


Ces CRL doivent être tenues à jour, donc au lieu de faire la mise à jour à la main, on va la mettre dans un CRON lancé toutes les heures. Il va récupérer toutes les CRLs de la chaine (avec curl) et les convertir au format PEM (avec openssl). Ensuite il va créer les liens hash (avec make en utilisant le Makefile fourni par Apache).

Voici notre fichier /etc/cron.hourly/maj-crl-httpd applicable pour notre exemple:

cd /etc/httpd/conf/ssl.crl

# CHAINE TBS X509 persona pour PKI PME
curl -s http://crl.sectigo.com/TBSX509CAPersona3RSA.crl | openssl crl -inform DER -out TBSX509CApersona3RSA.crl
curl -s http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl | openssl crl -inform DER -out USERTrustRSACertificationAuthority.crl


make > /dev/null
Le résultat est le suivant: 
$ ll /etc/httpd/conf/ssl.crl
-rw-r--r--    1 root     root          320 Aug 24  1999 README.CRL
-rw-r--r--    1 root     root         1568 Aug 24  1999 Makefile
-rw-r--r--    1 root     root          841 Feb 11 14:10 TBSX509CApersona3RSA.crl
-rw-r--r--    1 root     root          857 Feb 11 14:10 USERTrustRSACertificationAuthority.crl
lrwxrwxrwx    1 root     root           46 Feb 11 14:10 9ec3a561.r0 -> USERTrustRSACertificationAuthority.crl
lrwxrwxrwx    1 root     root           20 Feb 11 14:10 4840af4a.r0 -> TTBSX509CApersona3RSA.crl
Il ne nous reste plus qu'à indiquer à Apache de consulter ces CRL avec l'instruction 
SSLCARevocationPath conf/ssl.crl/

Nouvelle méthode : OCSP

Cette méthode permet de vérifier la validité du certificat en temps réel en interrogeant directement l'autorité de certification. Pour activer ce protocole, voici les directives à mettre en place dans votre fichier de configuration Apache :

    SSLVerifyClient require
    SSLOCSPEnable on

Également, il faut activer l'OCSP Stapling pour fournir directement une attestation de validité à la connexion (plus d'informations). L'OCSP Stapling est supporté à partir de la version 2.4+ d'Apache. Voici un exemple de configuration de l'OCSP Stapling :

    SSLUseStapling on
    SSLStaplingCache "shmcb:logs/stapling_cache(128000)"