Discussion :

[cpf2006]

Bonjour,
Je ne connais grand-chose sur le certificat, les privées et publiques.
Bien que j’ai lu pas mal de tutoriel, ils sont partiels et je ne parviens pas à trouver un tutoriel qui décrit non seulement les principes mais aussi l’implémentation.
Je suis donc très demandeur de ce type de documentation.
Je vous explique mon objectif :
J’ai un Web Service (WS) écrit en Java qui contient un server Jetty.
Ce WS qui tourne en localhost (pc Windows10 Client) lance Jetty pour communiquer en http (et https) vers le MEME WS qui écoute sur un server remote UNIX(AIX).
Ce WS est appelé depuis une web application de gestion de fichier lorsqu'un fichier doit être copié du SERVER vers le pc du CLIENT et inversement


- En http, aucun problème mais en https je rencontre des problèmes de certificat.
Coté remote (server Aix)
- une clé server.jks est créée automatiquement à partir du certificat ".cer", normalement valide, qui se trouve sur le serveur avec la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
keytool -import -alias serverCert -file certificatTrusted.cer -storepass mdp -keystore server.jks

J’exporte le certificat sur un autre nom pour l’installer et l’utiliser sur le pc client.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Keytool -export -alias serverCert -storepass mdp -keystore server.jks -file server.cer

Coté localhost (pc Client)
- J’ai utilisé le keytool pour créer un .jks avec les commandes (je ne donne pas les infos sur la compagnie :
- je crée la clé .jks
- j’exporte le certificat localhost.cer
- j’importe le certificat server.cer qui se trouve sur le server
- j’installe sur le pc le localhost.cer et le server.cer en cliquant droit « installer certifcat »

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Keytool -genkey -keystore localhost.jks -alias localhostKey -keyalg RSA -keyalg RSA -keypass mdp -storepass mdp -dname "CN=localhost, ou=1234567890, O=compagnie machin - département truc, L=Brussels, ST=Belgium, C=BE" -keysize 4096 -validity 36000
Keytool -export -alias localhostKey -storepass changeit -keystore localhost.jks -file localhost.cer 
Keytool -import -alias serverCert -file server.cer -storepass mdp -keystore localhost.jks

- installé le localhost.cer et le server.cer en cliquant droit dessus et choisir "installer le certificat"
Résultat :
En ligne de commande, je lance le WS local. Je lance également le WS remote.
Lorsque, via le browser, je lance l’url voici ce que réponde le WS CLIENT (dans cmd)
Et ne parviens à communiquer avec le WS remote, probablement pour un problème de sécurité et certificat (j’ai mis en gris ce qui pourrait identifier mon entreprise)



En cmd, la commande vers le WS localhost "https://localhost:4443/application.wadl" répond bien et me donne l'arborescence xml du fichier "wadl".
Sur le browser, l’appel du WS localhost qui a son tour communique avec le WS remote, me renvoie une erreur de sécurité et met l’url en http plutôt qu’en https et parviens à passer le cap du WS local mais n’a aucune influence sur le WS remote !



Un grand merci d'avance pour votre précieuse aide
Cpf

[mathieu]

est ce que vous êtes sûr de devoir utiliser le port 4443 ?
le port habituel pour HTTPS est le 443 donc il y a peut-être une faute de frappe quelque part.

[cpf2006]

bonjour Mathieu,

C'est vrai qu'on utilise le 443 habituellement, mais on a choisi le 4443 pour des raisons que j'ignore d'ailleurs.

Je ne pense pas que cela soit le problème mais bon autant essayer avec 443 et vous tiens au courant

Merci

cpf

[cpf2006]

Bonjour,

La raison d'utiliser le port 4443 est que Apache tourne sur le site et utilise le port 443 pour le https

Je vois que le sujet est compliqué

Bonne fin d'année

Cpf

[mathieu]

et est ce que le port 4443 est bien configuré pour être utilisé avec SSL ?
essayez peut-être d'y accéder avec un navigateur pour voir s'il y a un autre message d'erreur qui pourrait aider à comprendre le souci.

[cpf2006]

J'ai en partie résolu le problème mais le browser ne l'accepte pas car certificat pas trusted !
en CMD ça fonctionne
Je vais plus tard essayer de trusted les certificats gratuitement

Voici ma procédure, si ça peut aider qlq'un :

Procedure to create and to install certificate in localhost and remote server
-----------------------------------------------------------------------------
step 1 in de pc

keystore for localhost (validity = 3600 = 10 years)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Keytool -genkey -keystore localhost.jks -alias localhost -keyalg RSA -keyalg RSA -keypass xxx -storepass xxx -dname "CN=localhost, ou=numberofsociety, O=compagny, L=Brussels, ST=Belgium, C=BE" -keysize 4096 -validity 3600

Keytool -export -alias localhost -storepass xxx -keystore localhost.jks -file localhost.cer

step 2 in de remote server

keystore for remote server (validity = 3600 = 10 years)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
/usr/java8/jre/bin/keytool -genkey -keystore server.jks -alias fullnameserver -keyalg RSA -keypass xxx -storepass xxx -dname "CN=fullnameserver , ou=numbrecompagny, O=Compagny, L=Brussels, ST=Belgium, C=BE" -keysize 4096 -validity 3600

/usr/java8/jre/bin/keytool -export -alias fullnameserver  -storepass xxx -keystore server.jks -file server.cer

step 3 in de pc
----------------
MMC : install in Windows de localhost.cer and server.cer as procedure

step 4 in de pc
----------------
with keytool install de localhost.cer and server.cer cacerts of java in de pc
-------------------------------------------------------------------------------
CMD(as administrator) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Keytool -import -alias localhost -storepass xxx  -keystore "c:\Program Files (x86)\Java\jdk1.8.0_171\jre\lib\security\cacerts" -file localhost.cer
Keytool -import -alias fullnameserver  -storepass xxx -keystore "c:\Program Files (x86)\Java\jdk1.8.0_171\jre\lib\security\cacerts" -file server.cer