Bonjour,
Actuellement j’ai une architecture de chiffrement basée sur des clafs RSA 3072 et 4096 bits.
Je voudrais tout migrer vers ED25519.
Ça implique donc que je renouvelle tous mes certificats avec une nouvelle clef ED25519.
Mon problème c’est le renouvellement du certificat racine. Comment liu changer sa clef? Ou bien dois-je tout simple refaire un nouveau certificat racine qui servira ensuite à signer le renouvellement des autres certificats?
Car je n’ai rien trouvé sur le moyen de modifier le type de clef d’un certificat.
Bonjour @Zargos
Je ne sais pas si ça peut vous être utile mais je travaille actuellement sur du SMTP en SSL/TLS et dans ce cas, c’est bien la transaction initiale qui me génère ou renouvelle les certificats.
je n’ai rien trouvé sur le moyen de modifier le type de clef d’un certificat.
Ces liens pourraient vous-être utile:
https://www.unixtutorial.org/how-to-generate-ed25519-ssh-key/.
https://ichi.pro/fr/comment-utiliser-les-certificats-ssh-pour-un-acces-serveur-evolutif-securise-et-plus-transparent-125389551658519
Sauf spécification d’une clef spécifique, open-ssh parcours toutes les clefs situées dans ~/.ssh/authorized_keys** jusqu’à obtenir la bonne. Bien évidemment, sur le serveur la clef publique en ED25519 doit être mise en place.
Il ne s’agit pas de clef SSH, mais de clef pour la génération de certificats.
En fait il faudrait déjà que je puisse avec un certificat racine avec ED25519 mais apparemment on ne peut pas.
Il semble y avoir un problème avec openssl pour créer un certificat auto-signé avec une clef ED25519.
Pour un autre certificat il suffit apparemment de simplement renouveler le certificat avec un CSR généré avec une nouvelle clef ED25519.
Donc ne me reste qu’à utiliser mon certificat racine généré avec une clef RSA pour faire le reste.
Le principe reste le même car un certificat n’est ni plus ni moins qu’un fichier contenant une clef publique. Pour openssl et sa syntaxe, ce lien vous sera utile:
https://stackoverflow.com/questions/72151697/generating-public-ed25519-key-with-openssl
Vous pouvez aussi vous appuyer sur la rfc8032.
Cela dépend aussi de l’architecture et sur ce point votre message initial semble manquer de précisions en ne précisant pas le rôle des serveurs concernés (serveur Web ? serveur SMTP ? ou autre à préciser). Par exemple, sur un serveur SMTP en SSL/TLS, les informations utiles relatives aux certificats sont fournies dans sa RFC.
Le problème c’est pour migrer un certificat CA racine.
Et en fait on ne peut pas créer un certificat racine autosigné avec openssl en utilisant une clef ED25519.
Les autres certificats pas de problèmes.
Donc exit les AC ou AC intermédiaires, je ne peut migrer que les certificats de serveurs, de services, ou d’utilisateurs.
Ca mériterait une mise en situation avec une procédure pour reproduire le problème avant de pouvoir envisager de le corriger.
J’ai compilé xca pour avoir la version 2.8.0 au lieu de 2.4.0 du dépôt Debian, et maintenant ça marche.
Problème réglé.
Il faudra attendre la prochaine version car SID est avec la 2.8.0.
1 J'aime
Superbe 
, ça m’étonnait un peu… Il peut y avoir des problèmes de versions avec la génération de clefs lorsque les versions des outils de crypto changent.