Bonjour, J'utilise des contrôleurs d'équipements industriels qui ont une base Debian Stretch customisée par le fabriquant de la carte CPU. Ces équipements embarquent un certain nombre de services (serveur web, serveur ssh, serveur FTP, ...) Certaines connexions sont chiffrées en SSL avec un certificat auto-signé. Les versions actuelles de navigateurs (firefox, chrome, ...) déclenchent systématiquement un avertissement, il faut mettre une exception et, si c'est faisable, la rendre permanente.
Imaginez que vous êtes l'opérateur qui tous les matins démarre sa machine avec une belle interface web et qui doit créer/accepter l'exception pour un certificat auto-signé dont il n'a pas la moindre idée de ce que c'est. Je cherche un moyen de mettre un certificat (ou une chaîne) valide et reconnu par les navigateurs comme de confiance. Une solution style let's encrypt (certbot) ne me semble pas valide car: - les équipements n'ont pas de connexion avec internet (impossible de renouveler le certificat), - l'ip et le nom de machine sont définis par l'utilisateur final et en fonction du secteur d'installation il peut même y avoir du DHCP, - les équipements ne sont pas forcément reliés au réseau usine (pas de possibilité d'utiliser un serveur interne avec une chaîne de certificats), - dans la même machine, je peux avoir plusieurs de ces équipements (impossible d'avoir un nom de machine/domaine -fqdn- identique) mkcert comme utilisé ici: https://lehollandaisvolant.net/?d=2019/01/07/22/57/47-localhost-et-https ne cadre pas car le navigateur n'est pas nécessairement celui embarqué par l'équipement, on peut effectuer un accès distant pour un écran déporté affichant par exemple le status de l'équipement. Si certains ont des pistes de recherches, je suis preneur car mes recherches avec "trusted certificat industrial equipment" et un apt-cache search certificate ne me retourne pas de résultat qui me semblent intéressants. Rassurez-moi, les éditeurs de navigateur ont bien pensé à ce cas de figure lorsqu'ils on décidé "d'imposer" HTTPS et TLS? Je me pose la question lorsque je lis la portion "For native apps talking to web apps" de: https://letsencrypt.org/docs/certificates-for-localhost/ -- Jack.R
