OpenSSL : Lire les informations d’un certificat (CRT ou PEM)

	Comment lire les informations d'un certificat ?

Un certificat est un bloc de texte codé composé d’une clé publique et d’informations le caractérisant et portant généralement l’extension « .crt » ou « .pem ».

-----BEGIN CERTIFICATE-----
MIIHSzCCBjOgAwIBAgIHBpkufn+6JjANBgkqhkiG9w0BAQsFADCBjDELMAkGA1UE
BhMCSUwxFjAUBgNVBAoTDVN0YXJ0Q29tIEx0ZC4xKzApBgNVBAsTIlNlY3VyZSBE
…
6ycZB9aTb+Gbb5f19WSqbxoIRoagLj6lAUiSkh5rQlWGpw9tiafxQs6wmlIlvZg=
-----END CERTIFICATE-----

La commande OpenSSL suivante permet de décoder les informations du certificat :

openssl x509 -text -noout -in certificat.crt

Quelques informations issues du certificat (en plus de la clé publique) :

  • version du certificat (« Version ») ;
  • numéro de série (« Serial Number ») ;
  • identité du signataire (« Issuer ») ;
  • période de validité (« Validity ») sous la forme pas avant telle date (« Not Before ») et pas après telle autre (« Not After ») ;
  • « sujet » de la clé (« Subject ») ce sont les informations saisies lors de la demande de certificat (pays, région, organisation, mail de contact, etc) ;
  • taille de la clé (« Public-Key ») ;
  • domaine d’utilisation de la clé (« Key Usage » et « Extended Key Usage ») ;
  • empreinte de la clé signataire et de son sujet (respectivement « Subject Key Identifier » et « Authority Key Identifier ») ;
  • nom alternatifs (« Subject Alternative Name ») ;
  • le certificat est-il celui d’une autorité de certification ? (« CA:FALSE » pour non, dans « Basic Constraints ») ;
  • accès à la liste de révocation (« CRL Distribution Points »).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *