Certificat pour signature de documents
Bonjour Je cherche à savoir qu'elle est pour vous Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide. Mais je vous avoue être un peu perdu dans la jungle des certificats. Du coup, je suis ouvert à tout conseil. Qu'elle type de certificat dois je acheter et chez qui me le procurer Merci d'avance pour vos réponses Zorg
Bonsoir, Zorg <zorg@probesys.com> : [...]
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Il faudrait clarifier la notion de "certificat valide". Avez-vous la main sur le paramétrage de l'application et vous a-t-on donné des directives de validation des certificats ?
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Je compatis. :o(
Quel type de certificat dois je acheter et chez qui me le procurer
La réponse universelle n'existe pas: le fonctionnement de l'application dépend implicitement ou explicitement de la structure du certificat. Dans le contexte d'un certificat X.509v3, le fonctionnement est typiquement conditionné par les extensions Basic Constraints, Key Usage et Extended Key Usage (à minima). La présence ou l'absence de ces extensions dans les certificats, leur criticité (également présente dans les certificats) et leur(s) valeur(s) influencent le comportement de l'application. Les sections idoines de la RFC PKIX [1] donnent une idée de ce à quoi s'attendre. Ajoutez une couche de bugs, de bétonnages divers et de bibliothèques logicielles plus ou moins opaques dont les comportements évoluent au cours du temps et, oui, c'est la jungle. Le cadre règlementaire d'usage de l'application peut préciser les choses. Ou pas. La multiplication sinon la complexité (?) des règles de validation des certificats dans l'application a toutes les chances de conduire tôt ou tard à des tracasseries en présence de PKI placées sous des ombrelles administratives différentes. Caractériser le comportement de l'application avec différents jeux d'extensions aide. Regardez ce qui existe dans la nature avec la RFC et les utilitaires openssl de votre choix et élaborez des certificats de test avec vos hiérarchies de certificats. C'est un conseil. Un truc con: si vous n'avez la main *que* sur la signature, attendez vous à des surprises lors des vérifications de signature. [1] https://www.rfc-editor.org/rfc/rfc5280 -- Ueimor
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Ok donc vous souhaiter passez d'un modèle Private CA à du public, implicitement Common CA Database je suppose *1 ? Mais est-il même possible d'acheter des certificat chez les revendeurs habituels pour autre chose qu'un FQDN ? Rien n'est moins sûr. Et même si c'était le cas, vous allez payer pour chaque changement de document ? Franchement je vois pas d'autre solution qu'un Private CA. Donc oui, ce que vous appelez « valide » est à redéfinir en fonction de l'appli cible. *1 https://www.ccadb.org/rootstores/
hello pour moi un s/mime fait le job Hugo On 22/10/2022 14:42, Zorg wrote:
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Du coup, je suis ouvert à tout conseil.
Qu'elle type de certificat dois je acheter et chez qui me le procurer
Merci d'avance pour vos réponses
Zorg
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
-- / ::1 Hugo SIMANCAS Directeur Technique Associé https://www.data-expertise.com [https://www.data-expertise.com/] Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 | Ligne directe : 05 34 25 50 57 Mobile : 06 95 44 29 64 !Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/ [https://conf.data-expertise.com/] !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ [https://pad.data-expertise.com/] Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus.
Le Sat, Oct 22, 2022 at 02:42:30PM +0200, Zorg [zorg@probesys.com] a écrit:
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
A priori, il te faut "juste" un certificat "client" ( "de personne" ) par utilisateur, pour remplacer tes certficats provenant de ta CA privée. Par exemple : https://www.tbs-certificats.com/comparatif_certificat_client_utilisateur_ema... https://www.chambersign.fr/signer/ ( et d'autres, hein ) -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
Bonjour, Merci pour vos retours oui je souhaite bien passer d'un modèle Private CA à du public De ce que je comprends avoir un CA public pour créer des clés qui ne créent pas d'alertes dans Adobe n'est pas possible. Je cherche surtout à signer les documents pour être sûr qu'ils ne sont pas modifiés donc mon CA privé suffira, car sauf si j'ai mal compris vos retours tout le reste est hors de portée pour mon cas d'usage. Zorg Le 22/10/2022 à 14:42, Zorg a écrit :
Bonjour
Je cherche à savoir qu'elle est pour vous
Je dois mettre en place une solution qui fonctionne actuellement en signant des documents (pdf, odt) avec de clés PKCS#12 généré à partir d'un certificat racine autosigné
Je cherche maintenant à pouvoir signer mes documents à partir de clés signées par un certificat valide.
Mais je vous avoue être un peu perdu dans la jungle des certificats.
Du coup, je suis ouvert à tout conseil.
Qu'elle type de certificat dois je acheter et chez qui me le procurer
Merci d'avance pour vos réponses
Zorg
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
participants (5)
-
Dominique Rousseau -
Francois Romieu -
Pierre-Philipp Braun -
SIMANCAS Hugo -
Zorg