Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Du coup, je suis ouvert à tout conseil.
Qu'elle type de certificat dois je acheter et chez qui me le procurer
Merci d'avance pour vos réponses
Zorg
Bonsoir,
Zorg zorg@probesys.com : [...]
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Il faudrait clarifier la notion de "certificat valide".
Avez-vous la main sur le paramétrage de l'application et vous a-t-on donné des directives de validation des certificats ?
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Je compatis. :o(
Quel type de certificat dois je acheter et chez qui me le procurer
La réponse universelle n'existe pas: le fonctionnement de l'application dépend implicitement ou explicitement de la structure du certificat.
Dans le contexte d'un certificat X.509v3, le fonctionnement est typiquement conditionné par les extensions Basic Constraints, Key Usage et Extended Key Usage (à minima).
La présence ou l'absence de ces extensions dans les certificats, leur criticité (également présente dans les certificats) et leur(s) valeur(s) influencent le comportement de l'application.
Les sections idoines de la RFC PKIX [1] donnent une idée de ce à quoi s'attendre. Ajoutez une couche de bugs, de bétonnages divers et de bibliothèques logicielles plus ou moins opaques dont les comportements évoluent au cours du temps et, oui, c'est la jungle.
Le cadre règlementaire d'usage de l'application peut préciser les choses. Ou pas.
La multiplication sinon la complexité (?) des règles de validation des certificats dans l'application a toutes les chances de conduire tôt ou tard à des tracasseries en présence de PKI placées sous des ombrelles administratives différentes.
Caractériser le comportement de l'application avec différents jeux d'extensions aide. Regardez ce qui existe dans la nature avec la RFC et les utilitaires openssl de votre choix et élaborez des certificats de test avec vos hiérarchies de certificats. C'est un conseil.
Un truc con: si vous n'avez la main *que* sur la signature, attendez vous à des surprises lors des vérifications de signature.
[1] https://www.rfc-editor.org/rfc/rfc5280
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Ok donc vous souhaiter passez d'un modèle Private CA à du public, implicitement Common CA Database je suppose *1 ?
Mais est-il même possible d'acheter des certificat chez les revendeurs habituels pour autre chose qu'un FQDN ? Rien n'est moins sûr. Et même si c'était le cas, vous allez payer pour chaque changement de document ?
Franchement je vois pas d'autre solution qu'un Private CA. Donc oui, ce que vous appelez « valide » est à redéfinir en fonction de l'appli cible.
hello
pour moi un s/mime fait le job
Hugo
On 22/10/2022 14:42, Zorg wrote:
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Du coup, je suis ouvert à tout conseil.
Qu'elle type de certificat dois je acheter et chez qui me le procurer
Merci d'avance pour vos réponses
Zorg
Liste de diffusion du %(real_name)s http://www.frsag.org/
Le Sat, Oct 22, 2022 at 02:42:30PM +0200, Zorg [zorg@probesys.com] a écrit:
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
A priori, il te faut "juste" un certificat "client" ( "de personne" ) par utilisateur, pour remplacer tes certficats provenant de ta CA privée.
Par exemple :
https://www.tbs-certificats.com/comparatif_certificat_client_utilisateur_ema...
https://www.chambersign.fr/signer/
( et d'autres, hein )
Bonjour,
Merci pour vos retours
oui je souhaite bien passer d'un modèle Private CA à du public
De ce que je comprends avoir un CA public pour créer des clés qui ne créent pas d'alertes dans Adobe n'est pas possible.
Je cherche surtout à signer les documents pour être sûr qu'ils ne sont pas modifiés donc mon CA privé suffira, car sauf si j'ai mal compris vos retours tout le reste est hors de portée pour mon cas d'usage.
Zorg
Le 22/10/2022 à 14:42, Zorg a écrit :
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Du coup, je suis ouvert à tout conseil.
Qu'elle type de certificat dois je acheter et chez qui me le procurer
Merci d'avance pour vos réponses
Zorg
Liste de diffusion du %(real_name)s http://www.frsag.org/
-
Dominique Rousseau -
Francois Romieu -
Pierre-Philipp Braun -
SIMANCAS Hugo -
Zorg