Discussion :

[Invité]

Bonjour, depuis plusieurs semaines, je me casse la tête à essayer de comprendre cette notion de certificat : j'ai un projet qui consiste à signer un document XML, pour ça, il me faut au préalable mettre en ligne sur un compte personnel un certificat au format CER , chose dans lequel je fais une impasse dessus.
Après avoir comparer ce que j'avais, j'ai remarqué qu'ils n'avaient pas tous le même rôle à jouer, dans mon cas, je veux seulement signer un document au format XML, j'ai réussi à en créer un à l'aide de SelfCert , problème, ce premier n'est pas un certificat de confiance (message: "Ce certificat racine de l’autorité de certification n’est pas de confiance car il ne fait pas partie du magasin d’autorités de certification de racine de confiance").
Dans le cadre de mon projet, j'aurais également besoin d'un certificat au format PFX mais qui lui, restera sur mon propre pc, après mettre cassé la tête à essayer de lire une clé privée dans un fichier au format KEY, je n'ai rencontré aucun soucis à le faire depuis un certificat PFX, ce dernier est créée en "fusionnant" mon certificat CER ainsi que ma clé KEY, que j'ai pu faire à l'aide d'OpenSSL.
Ce que j'aimerais savoir (et surtout réussir), c'est de savoir comment on fait (je pense que je devrais m'orienter dans ce sens là, je n'ai vu nulle part des explications de manière précise sur la notion de certificat à utiliser dans mon projet) pour générer un certificat qui devra être délivré par une société (avec pour subjectname, le CN, le O, le OU et le C) à un signataire (qui aura dans son subjectname, CN, O, OU et C), tout en lui autorisant de signer un document XML et qui reste valide (concernant la durée de la validité du certificat, on pourra essayer de faire en sorte que ça dure 10 ans).
Si besoin est, je pourrais de voir cela avec IIS mais j'aurais besoin que vous me guidiez, sur google, j'ai vu que cet applicatif utilisait la notion de certificat mais je ne sais pas l'utiliser.
Merci

[meziantou]

ce premier n'est pas un certificat de confiance (message: "Ce certificat racine de l’autorité de certification n’est pas de confiance car il ne fait pas partie du magasin d’autorités de certification de racine de confiance").

Si la confiance est interne à l'entreprise, il suffit de déployer le certificat racine sur tous les PC. autrement il faut payer.

Remarque : Fais des phrases simples sans parenthèses à rallonge. Avant de rentrer dans la technique, expliques ton besoin de manière simple.

De ce que je comprends:
- Tu veux un certificat pour une société.
- Cette société doit générer des certificats pour des signataires.
- Les certificats des signataires doivent permettre de signer un fichier XML.

En gros tu veux la même chose que dans le schéma suivant (https://www.globalsign.fr/signature-...certification/)
- Certificat racine de confiance (optionnel)
- Certificat de l'entreprise
- Certificat d'un signataire permettant la signature électronique

Est-ce cela ?

[Invité]

Bonjour, désolé d'avoir mis du temps pour répondre, entre temps, mon compte d'accès a été supprimé, la création d'un nouveau a pris un peu trop de temps.
Il semblerait que mon problème ne puisse pas se résoudre aussi facilement que ça, il semblerait que la mise en ligne du certificat ne peut se faire que depuis un serveur basé à l'étranger (au pérou dans mon cas), j'ai demandé à notre correspondant de faire un test, il a obtenu comme erreur que le certificat ne fait pas partie d'une autorité de certification valide.
Notre correspondant prendra contact avec une entreprise accréditée à émettre des certificats valides.
Sinon dans les étapes que j'avais mentionné précédemment, c'est ce que j'avais dis, en effet.