Le 21/10/2019 à 09:05, David VANTYGHEM a écrit : > Si j'ai bien compris, je dois faire une demande de signature du > certificat que j'ai généré : > https://support.brother.com/g/b/faqend.aspx?c=be&lang=fr&prod=mfcl3750cdw_us_eu_as&faqid=faq00100422_003 > > Les fabricants d'imprimantes ne font pas cela gratuitement ? >
Salut David, Oui, le problème c'est que ton certificat n'est pas signé. Ce qu'explique la doc de brother c'est : 1 : l'imprimante génère une clef privée et un CSR 2 : tu télécharge le CSR (Certificate Signing Request) qui comme son nom l'indique permet de demander un certificat signé. Note, le CSR ne contient pas la clef privée, pas de soucis. 3 : tu donnes le CSR à une autorité de certification (comodo, certigna, letsencrypt, etc...) 4 : l'autorité de certification te retourne un certificat signé 5 : tu positionnes le certificat signé sur le serveur où il y a la clef privée (typiquement un serveur web, nginx, apache, etc...) Note : si tu as un doute sur la correspondance de la clef privée avec un CSR ainsi que le certificat signé, tu peux vérifier le "modulus" qui est une info que tu dois retrouver dans les 3 fichiers : https://www.shellhacks.com/openssl-check-private-key-matches-ssl-certificate-csr/ Ce qui est important, c'est de conserver ta clef privée "privée" ! L'autorité de certification n'en a pas besoin pour émettre le certificat. Et si tu penses que ta clef privée a été volée, tu peux demander à l'autorité de certification de révoquer le certificat qui sera invalidé avant sa date d'expiration via le mécanisme de CRL/OCSP (Certificate Revocation List / OCSP est un mécanisme plus "dynamique" de recherche de révocation). Historiquement, signer un certificat avec une autorité reconnue des navigateur ça coûtait cher (une centaine d'euro par domaine et par an, sans inclure de "wildcard" pour les sous-domaines...). Et avec des options de validation étendue (EV) ça peut coûter encore plus cher ! Maintenant il y a letsencrypt (LE en abrégé). La durée d'un certificat LE n'est que de 3 mois environ, mais la création et le renouvellement peuvent être automatisés (notamment avec le client "certbot" disponible dans les dépôts debian). https://letsencrypt.org/ Si tu ne peux pas faire tourner le client LE dans ton imprimante, tu peux peut être faire fonctionner le client sur un autre ordi puis pousser le certificat signé vers ton périphérique. C'est évoqué sur le site : https://letsencrypt.org/getting-started/ -> Without Shell Access --> "If your hosting provider doesn’t want to integrate Let’s Encrypt, but does support uploading custom certificates" Sinon, en environnement restreint (c'est à dire pas sur Internet et un faible nombre de machines connues et configurables) tu peux envisager d'avoir ta propre autorité de certification (CA) et de charger la chaîne correspondante dans ton navigateur. L'avantage de cette méthode c'est que tu peux générer des certificats longue validité. L'inconvénient c'est qu'il faut monter la CA et bricoler le navigateur, du coup ceux qui n'ont pas importé le CA dans leurs navigateurs auront une erreur comme un certificat autosigné. Note : pour les vendeurs d'imprimantes qui veulent aller vite, j'imagine qu'ils te conseillent souvent de valider l'exception de sécurité du certificat autosigné dans le navigateur... Maintenant, ils pourraient aussi intégrer un client LE. Les autorité de certification historiques existent toujours (et c'est toujours assez cher) et ont entre autre l'avantage de pouvoir générer des certificats valides pour 1 an voire plus. Donc tu peux envisager de positionner/renouveller ce type de certificat manuellement sans connecter le périphérique sur Internet. C'est raisonnable si le nombre de matériels est limité. A+ Vincent _______________________________________________ libre mailing list [email protected] https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
