Bonsoir,
Zorg zorg@probesys.com : [...]
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Il faudrait clarifier la notion de "certificat valide".
Avez-vous la main sur le paramétrage de l'application et vous a-t-on donné des directives de validation des certificats ?
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Je compatis. :o(
Quel type de certificat dois je acheter et chez qui me le procurer
La réponse universelle n'existe pas: le fonctionnement de l'application dépend implicitement ou explicitement de la structure du certificat.
Dans le contexte d'un certificat X.509v3, le fonctionnement est typiquement conditionné par les extensions Basic Constraints, Key Usage et Extended Key Usage (à minima).
La présence ou l'absence de ces extensions dans les certificats, leur criticité (également présente dans les certificats) et leur(s) valeur(s) influencent le comportement de l'application.
Les sections idoines de la RFC PKIX [1] donnent une idée de ce à quoi s'attendre. Ajoutez une couche de bugs, de bétonnages divers et de bibliothèques logicielles plus ou moins opaques dont les comportements évoluent au cours du temps et, oui, c'est la jungle.
Le cadre règlementaire d'usage de l'application peut préciser les choses. Ou pas.
La multiplication sinon la complexité (?) des règles de validation des certificats dans l'application a toutes les chances de conduire tôt ou tard à des tracasseries en présence de PKI placées sous des ombrelles administratives différentes.
Caractériser le comportement de l'application avec différents jeux d'extensions aide. Regardez ce qui existe dans la nature avec la RFC et les utilitaires openssl de votre choix et élaborez des certificats de test avec vos hiérarchies de certificats. C'est un conseil.
Un truc con: si vous n'avez la main *que* sur la signature, attendez vous à des surprises lors des vérifications de signature.
[1] https://www.rfc-editor.org/rfc/rfc5280