merci du lien.

sur le principe, j'ai bien compris.
J'ai travaillé chez le constructeur en question et il n'y a nul pas un endroit où je peux envoyer mon certificat à signé.

Le constructeur fournit avec le code des téléphones son certificat Root, un fichier PEM. Ne faudrai-t-il donc pas utiliser ce dernier pour signé mon serveur? Ou le placer de manière à ce qu'il soit reconnu par mes équipements?

Dernière modification par tcantin (10 Feb 2010 11:58:55)

Hello,

  Plutôt que de spéculer sur la nature du root.pem, peux-tu donner plus de détails sur le constructeur en question, et le scénario HTTPS utilisé ? parce que ce serait contraire au bon sens que le constructeur fournisse directement une clef privée pour la racine de confiance du client web du téléphone.

  Est-tu sûr qu'on parle bien de la racine de confiance HTTPS du client (en général il y a une liste d'autorités classiques pour ça) ou de la racine de confiance pour la signature du code exécutable ? (La ça a un sens d'avoir un certificat global au constructeur)

  Tu peux inspecter à l'oeil le format .pem: Il peut contenir des blocs ---BEGIN/END CERTIFICATE---, qui contiennent une clef publique signée, des blocs ---BEGIN/END CERTIFICATE REQUEST---, qui contiennent une clef publique non signée, et ---BEGIN/END RSA PRIVATE KEY--- qui contiennent une clef privée. Il peut aussi contenir du texte libre en dehors des blocs, en général une représentation user-friendly du contenu.

  Tu peux examiner le contenu des blocs avec openssl, respectivement pour une clef publique ou privée:

openssl x509 -noout -text <fichier.pem
openssl rsa -noout -text <fichier.pem

Pour nous aider a y voir plus clair tu pourrais coller ici le détail de la clef publique, en principe ce n'est pas confidentiel. (Tu peux aussi coller les champs modulus et publicExponent de la clef privée, ou vérifier qu'ils correspondent ou pas à la clef publique)

Je peux t'indiquer comment créer un certificat signé par le root.pem s'il contient bien une clef privée, mais je doute que ce soit le cas, ce serait complètement inconscient de la part du constructeur de faire ça. (Sauf si tu travailles directement avec et qu'ils te font totalement confiance)

Hello,

  Alors, ce que tu decris (clef privee sur le client, et publique sur le serveur) est utilise par SSL uniquement pour authentifier le client, et est optionnel. Le chiffrement  utilise un algo symetrique, derivee avec l'authentification du serveur, qui est elle obligatoire. Les deux sens d'authentification sont completement separes.

  Pour l'authentification client, tu ne precises pas quel serveur http tu utilises, mais avec Apache c'est la directive SSLCACertificateFile qui sert a designer le certificat racine (ton root.pem).

  Pour l'auth serveur, il faudrait savoir quelles autorites sont reconnues par le client SSL du telephone. Tu devras obtenir un certificat signe par une de ces autorites. Si ton constructeur ne propose aucune interfac pour soumettre des demandes de signature, j'imagine que c'est parce que les telephones reconnaissent deja les autorites courantes (verisign, thawte, etc..) et que leur root.pem ne sert qu'a l'auth du client.

  C'est un peu plus clair ?

Hello,

Je ne suis pas un expert, mais on ne peut signer un certificat qu'avec une clé privée. Donc dans ce cas la clé publique du constructeur ne te sers à rien. Une clé privée étant par définition personnelle, je doute que le constructeur te fournisse cette clé. C'est donc au constructeur de te fournir une clé signée ou de répondre au CSR (Certificate Signing Request) comme expliqué dans les messages plus haut.

Bonne soirée.