Extraction des informations d’un certificat avec OpenSSL

By Flavien ROUX

L’extraction des données d’un certificat numérique X.509 est une étape cruciale pour garantir la sécurité des connexions chiffrées. OpenSSL, véritable couteau suisse du monde cryptographique, permet d’interpréter ces certificats avec une précision redoutable.

Ce guide est pensé pour les administrateurs système, développeurs DevOps et étudiants en cybersécurité qui souhaitent maîtriser cet outil incontournable.

À retenir :

  • OpenSSL permet d’extraire et de vérifier les informations d’un certificat X.509 avec précision.
  • Les données clés incluent le sujet, l’émetteur, la validité, les extensions et les algorithmes.
  • Ce processus est essentiel pour le diagnostic TLS, l’audit de conformité et l’automatisation DevOps.

Comprendre l’utilité des certificats X.509 et de l’outil OpenSSL

Les certificats X.509 sont les piliers de la sécurité TLS/SSL, chiffrant les échanges sur Internet. Un certificat X.509 contient l’identité du serveur, l’autorité de certification (CA), la durée de validité, la clé publique, et d’autres métadonnées critiques.

“Les certificats sont les passeports numériques des serveurs. Ils doivent être lus et vérifiés avec soin.”

Jean Lemoine, ingénieur en cybersécurité

OpenSSL, outil open-source largement adopté, permet non seulement de générer, mais surtout d’extraire les détails de ces certificats pour assurer leur conformité.

A lire également :  Comment réinitialiser les Pixel Buds

Extraire un certificat pour analyse : les méthodes les plus fiables

Récupérer un certificat à distance

Pour obtenir un certificat X.509 depuis un serveur distant via OpenSSL :

openssl s_client -connect google.com:443 -showcerts

Cela permet d’analyser le certificat reçu avant même d’interagir avec le serveur concerné.

“Obtenir un certificat à distance avec une seule commande, c’est gagner du temps et éviter les erreurs de configuration.”

Thomas Régnier, développeur DevOps

Extraire depuis un fichier PKCS#12

Avec les fichiers .pfx ou .p12, souvent utilisés dans les environnements Windows :

openssl pkcs12 -in certificat.pfx -clcerts -nokeys -out cert.pem
openssl pkcs12 -in certificat.pfx -nocerts -nodes -out key.pem

Accéder aux informations clés d’un certificat avec OpenSSL

Voir tout le contenu d’un certificat

openssl x509 -in cert.pem -noout -text

Cette commande donne accès à toutes les sections, des algorithmes jusqu’aux extensions.

Lire le sujet du certificat

openssl x509 -in cert.pem -noout -subject

Le subject contient les infos du propriétaire du certificat X.509, souvent le nom de domaine et l’organisation.

Identifier l’autorité de certification

openssl x509 -in cert.pem -noout -issuer

Permet de vérifier si le certificat est émis par une autorité reconnue.

Extraire l’empreinte (fingerprint)

openssl x509 -in cert.pem -noout -fingerprint

Une empreinte SHA1 ou SHA256 unique, utile pour vérifier un certificat X.509 sur une base de confiance.

Utiliser les extensions de certificat à son avantage

Consulter les noms alternatifs (SAN)

openssl x509 -in cert.pem -noout -ext subjectAltName

Ces données permettent d’associer plusieurs domaines à un seul certificat X.509.

Témoignage :
“On a évité une grosse erreur DNS grâce aux SAN. OpenSSL nous a permis de le détecter avant mise en prod.” – Marc V., chef de projet sécurité

Lire le numéro de série

openssl x509 -in cert.pem -noout -serial

A lire également :  Pourquoi archiver le web ?

Indispensable pour vérifier la révocation ou l’historique d’un certificat dans des outils comme OCSP ou CRL.

Tableau des principales commandes pour lire un certificat X.509

Commande OpenSSLDescriptionUtilisation principale
-textAffiche toutes les infos du certificatAudit complet
-subjectAffiche l’identité du propriétaireVérification de domaine
-issuerAffiche l’émetteur (CA)Validation de source
-serialAffiche le numéro de sérieContrôle de révocation
-ext subjectAltNameMontre les noms alternatifsAudit de sous-domaines
-fingerprintAffiche l’empreinte uniqueComparaison rapide

Convertir et manipuler les formats de certificats

Les certificats X.509 peuvent être convertis grâce à OpenSSL :

openssl x509 -outform der -in cert.pem -out cert.der

Utile pour les environnements Java ou certains appliances réseau.

Automatiser les vérifications dans les environnements DevOps

Les développeurs peuvent intégrer OpenSSL dans leurs pipelines CI/CD :

openssl x509 -in cert.pem -checkend 86400 -noout

Cette commande vérifie si le certificat X.509 expire dans les 24h, idéal pour les alertes automatisées.

Et vous, comment utilisez-vous OpenSSL pour gérer vos certificats X.509 ? Partagez vos retours ou posez vos questions en commentaire !