Discussion :

[Kehel]

Bonjour à tous,

Je suis en train de me renseigner sur la création de certificats "self-signed". D'après ce que j'ai pu lire dans le forum il faut utiliser l'outil keytool qui est présent dans le répertoire bin de Java.

Mais est-ce que je peux/dois utiliser cette méthode pour générer des certificats à partir de mon application sachant qu'elle va tourner en local sur un poste client ? Est-ce qu'un simple JRE contient cet outil keytool ? Existe-t-il une autre solution pour générer ses propres certificats ?

Dernière question (sûrement très bête mais bon ...), est-ce que keytool peut me permettre de générer le fichier .pfx et le fichier .cer ?

Merci d'avance.

[Lucio_]

Pour certifier une application il faut le compilateur et non le jre. Après c'est au client de gérer le certificat (par exemple sur firefox une fenêtre apparaîtra avertissant que le certificat n'est pas connus).

Je ne connais pas d'autre solution pour générer ces propres certificats.

Pour ce qui est généré, moi je génère un keystore.

[kaizokuni]

salut

regarde ce lien

http://www.esup-portail.org/consorti...java_x509.html

Tu peux générer le certificat en lançant la commande keytool, cela va te créer un fichier ".keystore" qui contiendra des clés et certificats.

[Kehel]

Merci pour vos réponses.

kaizokuni > Merci pour ce lien. Je vais potasser ça.

Effectivement il y a une partie que je dois creuser car je n'en connais pas du tout le fonctionnement, c'est les "keystores".

[kaizokuni]

je t'en pris, n'hésite pas à poser des questions

Commande création du keystore :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
keytool -genkey -alias aliaskey -keyalg RSA -keysize 512 -storepass password –v

Cette commande te permet de générer une paire de clés dans un certificat X509, le tout est stocké dans un nouveau fichier .keystore si l’option « genkey » est positionné.

par la suite si tu veux créer de nouveaux certificats, tu vires l'option genkey et le nouveau certificat sera automatiquement rajouté au .keystore

[Kehel]

Si je comprends bien, il faut donc créer son certificat dans un keystore puis ensuite l'exporter dans un fichier en .cer ?

[kaizokuni]

pourquoi tu veut absolument l'exporter dans un fichier .cer?

si tu veut, tu peut changer le nom du fichier .keysore qui est le nom par défaut en rajoutant l'option -keystore non_du_fichier

une question Kehel, tu cherche a faire quoi exactement?

[Kehel]

Non non je ne cherche pas absolument à l'exporter dans un fichier .cer, c'est juste que j'ai l'habitude d'échanger des fichiers en .cer. Du coup cette histoire des "keystores" me déroute un peu

J'ai vu qu'il y avait (au moins) deux types de keystore les JKS et les PFX. Donc si je comprends bien on a un magasin de certificats (les JKS) et de clés privées (les PFX), c'est ça ?

[kaizokuni]

D'apres ce que j'ai compris, PFX est spécifique a microsoft.

jks(Java KeyStore) est un magazin de certificat.
dans le cas ou t'utilise keytool, t'obtient un magazin de certificat (.keystore)
par la suite t'utilise ce fichier dans ton code java. je ne sais pas si tu cherche a chiffrer ou a avoir la garantit que tu communique avec la bonne personne ou le bon site web

http://www.traduc.org/docs/HOWTO/lec...tes-HOWTO.html

[Kehel]

Je cherche à chiffrer et/ou signer (en fonction des cas). Donc j'ai besoin d'une paire de clés privé et publique.

En ce qui concerne l'extension PFX, tu as raison j'ai trouvé un passage dans cette doc qui en parle :

Evitez d'utiliser l'extension .pfx qui correspond a "l'ancêtre" du format .p12. Cependant, Microsoft utilise toujours cette extension et contribue à la confusion entre les formats.

Source : http://nyal.developpez.com/tutoriel/...cycastle/#L3.1

Par contre, je repose la question que j'avais posé au départ (parce que je ne suis pas bien sûr de la réponse), est-ce qu'un simple JRE installé sur la machine du client (ou tournera mon appli) contient l'outil keytool.exe qui permettra à mon application de générer les .keystore ?

[kaizokuni]

Je pense que oui mais je ne suis pas certain