TUTOS.EU

Obtenir la chaine de certification d'un certificat (chain)

La chaîne (chain) correspond aux certificats publiques des autorités de certification qui ont générés votre certificat.

Exemple avec Google.com :

Quand vous générés un certificat, il peut être utile d'y inclure cette chaîne de confiance.

Pour cela le plus simple serait d'avoir sous le coude le .pfx de votre certificat et d'utiliser openssl avec ces options :
• cacerts demande à ce que l'on exporte uniquement les certificats des autorités de certification
• nokeys indique que l'on ne veut pas exporter les clés privées

ici en sortie on a mis un fichier .chain mais cela aurait pu être un .crt également

openssl pkcs12 -in MonCertificat.pfx -cacerts -nokeys -out MonCertificat.chain
Lien vers le fichier : cliquez ici Copier le code

Vous pouvez extraire du pfx le certificat cible et inclure la chaîne avec
• chain qui indique que l'on veut inclure les certificats publiques des autorités de certification
• nokeys indique que l'on ne veut pas exporter la clé privée

ici en sortie on a mis un fichier .crt. Un .cer devrait également convenir.

Si on n'avait pas mis l'option nokeys, la clé privée serait incluse et l'extension du fichier à utiliser aurait été .pem

openssl pkcs12 -in MonCertificat.pfx -chain -nokeys -out MonCertificat.crt
Lien vers le fichier : cliquez ici Copier le code

L'ensemble des options est visible sur  https://www.openssl.org/docs/manmaster/man1/openssl-pkcs12.html


2