Discussion :

[CheryBen]

Bonjour à tous, après de multiples crampes de cerveau, j'ai enfin réussit à faire communiquer un server et un client via une communication CORBA (en utilisant JacOrb) sécurisée par SSL.

L'authentification se fait donc par le biais d'un certificat du client importé dans le keystore du server, et inversement.

Ce que je n'ai pas compris c'est : est-ce que les keystores, que j'ai généré pour mes tests, peuvent être réutilisés sur d'autres machines? en gros, est-ce qu'un keystore est spécifique à une machine ou bien peut-il faire parti d'une distribution d'un programme?

Si le keystore doit être de nouveau généré, en est-il de même pour le certificat?

[CheryBen]

Personne ne sait si un .keystore est propre à une machine ?

Je pose ma question autrement, doit-on recréer un certificat à chaque installation ou juste une fois?

Pour rappel:
- je génère le keystore via keytool -keygen -alias <toto> -keystore <tata>
- ensuite l'outil pose des questions sur le groupe, l'entreprise, le pays, etc...

Je voudrais savoir si seules ces informations sont prises en compte dans le keystore ou si une clé/référence du PC est enregistrée dans ce fichier.

[Invité]

Salut,
Pour le keystore je dirais (sans vérifier) qu'il doit être indépendant de la machine. Ceci dit : si tu fais une authentification par certificat pour ton appli c'est bien, mais si toutes les installations d'une même appli utilisent le même certificat, et donc le même couple clef privée/publique et donc toute personne ayant installé l'appli peut s'authentifier sur les servers de toute autre install. Je ne sais pas si ton appli va être déployée à plusisuers endroits ou juste une fois mais réfléchis aussi á ca.
Sinon un moyen d'être sûr : avec le certificat et la clef privée associée dans le keystore, tu peux générer un fichier pkcs#12 contenant les deux protégés par un mot de passe, et importer sur une autre machine dans un autre keystore ce certificat.

[maisonneuve01]

Je confirme le keystore est indépendant de la machine.
Si cela t'intéresse, il est possible de gérer le keystore par programmation.
Regarde par là :
sun.security.x509.CertAndKeyGen
sun.security.x509.X500Name

Contacte moi pour plus de détails ...

[CheryBen]

Ok merci pour vos réponses, j'y vois plus clair.

Je vais en parler aux responsables de la sécurité du projet en ce qui concerne l'unicité du certificat.
En ce qui concerne la gestion du keystore par programmation, je ne sais pas si ça peut servir dans mon cas. Parce que l'authentification sert à une interface Corba, et je dois donc dans un fichier de configuration jacorb.properties, spécifier le chemin du keystore. (et ce serait superflu dans la mesure ou cela fonctionne désormais et que j'ai pris du retard sur cette tâche, mais je saurais pour la prochaine fois )

Merci beaucoup pour vos renseignements