Discussion :

[Laur3nT]

Bonjour,

Je me suis créé un ca cert autosigné sur mon serveur. N'ayant pas les moyens de prendre plusieurs certificat classe 3, je me suis dis : "Pourquoi ne pas installer mon certificat comme une autorité valide sur les postes clients ?"

Et bah voilà la question, comment installer une autorité de certificat sous windows via une application en C# ?

L'idée est la suivante :
- J'utilise des certificats pour différents usages (https, ftps, smtps, pops, imaps,...) tous sont signés par mon autorité de certificat 'autosigné'.
- Si j'installe cette autorité sur les postes Windows, ils apparaîtrons valide sur les postes clients (IE/Firefox, Outlook, ...)
- Mon besoin est bien de le faire directement dans la base de registre et d'être totalement transparent pour l'utilisateur.

Merci : )

[Kaidan]

Le plus simple est de passer, à mon avis, par les services certificats de Active Directory ( pour des tutorials) qui permettent de déployer les certificats d'une autorité de certification "entreprise" sur les différents postes du domaine.

Je ne suis pas sûr qu'une application peut installer un certificat de façon transparente dans Windows, sinon ce serait la porte ouverte à pas mal de gros problème genre : un ver installe un certificat bidon pour "MaBanque" et configure Internet Explorer pour que quand je tape "https://MaBanque.com" ça me redirige sur "https://MaFausseBanque.com" de manière invisible avec utilisation du faux certificat qui me dit que je suis bien sur "MaBanque.com"... et j'en passe, exécution de code "signé" sans restriction etc.

[Laur3nT]

On est d'accord, c'est un peu le but sauf que mes intentions sont du bon cotés de la force.
Faut pas exécuter n'importe quoi sur son poste. C'est un des risques !

J'ai eu l'idée en installant un parefeu (Comodo) qui, il me semble, installe des certificats.
Il est également possible d'installer des certificats en utilisant un fichier .cert
En ayant les droits d'administrateurs sur le poste, on a accès à la base de registre, donc ce doit être possible.

Concernant AD, l'idée est séduisante, mais ne correspond pas à mon problème. Les différents postes ne sont pas sous mon contrôle et ils sont sur différents réseau.
C'est <en gros> pour les membres d'une association. Nous avons nos serveurs et nos services dessus mais absolument pas le budget pour les certificats. D'où l'idée de créer ma propre autorité.
Je dis au membre : Merci d'exécuter "install_ca.exe" sur vos postes avec les droits d'administrateur et hop : )
Pour chacun de mes services, je signe le certificat avec mon autorité et c'est totalement transparent, même en cas de nouveau service.