Discussion :

[deglingo592003]

Bonjour à tous

ma question va paraitre simple, mais avec mon amis google je ne trouve pas la réponse à ma question

j'essaye tout bêtement d'accéder au magasin des autorités intermédiaire de Windows.

autant pour le magasin personnel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
KeyStore ks = KeyStore.getInstance("Windows-MY");

pour les autorités de confiance racine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
KeyStore ks = KeyStore.getInstance("Windows-ROOT");

par contre pour les AC intermédiaires je ne trouve rien ...

est ce que c'est parce qu'il n'existe rien d'autre que les deux cité ci-dessus ?

et finalement existe-il autre chose que MY et ROOT ?

merci d'avance

[Invité]

Salut,

Je ne suis pas sûr de comprendre ton problème et pour moi ça ne peut exister. Si une CA intermédiaire se retrouve dans ta liste de CAs, alors par définition elle n'est plus une CA intermédiaire, mais une CA racine pour toi . Je n'ai plus le schéma du magasin de certificats windows en tête, mais tu peux le voir facilement en ouvrant : certmgr (Démarrer > exécuter).
Mais tu as un magasin pour les CA, pour tes clefs privées (MY), pour les certificats d'autres personnes, typiquement des certificats SSL de servers. Tu dois aussi avoir la liste des requêtes de certificat envoyées par toi il me semble.


A plus

[deglingo592003]

pour expliquer mon problème simplement

la société X , reconnu comme autorité de certification possède son autorité racine incluse dans le magasin windows des autorité de confiance racine

(pour aller voir le magasin : executer > "mmc" puis ajouter le module "certificat")

on y retrouve entre autre

les certificats personnel
les racine de confiance
les autorité intermediaire
ect...


maintenant mon autorité racine possede egalement ces propre autorité intermédiaire

on appellera ces autorité Y1, Y2,Y3 ...

maintenant un utilisateur achete un certificat à cette autorité

par exemple il prendra un certificat de type Y1

Pour pouvoir identifier les liens entre le certificat utilisateur et la racine de confiance il faut donc que le magasin de certificat connaissent l'autorité intermediaire.

on a donc :

autorité racine X qui identifie l'autorité intermediaire Y1
l'autorité Y1 identifie le certificat de l'utilisateur ...

bref c'est tout simplement la chaine de certification.

dans mon cas, l'autorité racine est donc bien intégré, par contre pour que la chaine de certification soit valide pour l'utilisateur (peut importe le type de certificat choisi Y1 ou Y2 ect ...) il faut donc pouvoir importer ces autorité intermediaire ca c'est ce que je veux faire !


Du fait que l'autorité racine est déja présente, le fait d'intégré les autorité intermédiaire ne devrai pas poser de problème puisque la racine est déja accepté.

fiouu je ne penssai pas écrire autant...

mais le problème reste là

car pour reprendre mon problème,

si je double clique sur une de mes autorité intermédiaire (certificat) puis installer le certificat. windows me propose d'installer ce certificat dans le magasin système (en laissant l'install par defaut)

après vérification, il me l'installe bien dans les autorité intermédiaire.

donc je me demandais comment je pouvait réaliser cela par l'intermédiaire de java.

car avec le "windows-my"

il va m'installer le certificat dans les "certificat personnel"

avec "windows-root",

il va m'installer le certificat dans les autorité racine de confiance (et la avec une petite alerte "attention vous allez accepter ect ....")

par contre rien pour les AC intermédiaire

[Invité]

Bon alors là je vois pas. Si tu as installé un certificat de CA c'est une CA racine. Après Windows a peut-être comme très souvent sa dénomination des choses... D'après ce lien, ce magasin a des CA pas racine dans le sens, signée par une autre CA. Le fait est que si tu lui fais confiance, ça devient une CA racine, cf la RFC

We use the term "root CA" to indicate a CA that is directly trusted
by an end entity; that is, securely acquiring the value of a root CA
public key requires some out-of-band step(s). This term is not meant
to imply that a root CA is necessarily at the top of any hierarchy,
simply that the CA in question is trusted directly.

.
Mais si tu as ta CA de tout en haut dans le magasin de certificats, tu as pas besoin d'ajouter les certificats intermédiaires, l'algorithme de vérification de certificat gère tout ça. Tu vas recevoir la chaine de certificats et ça devrait suffir si tu testes avec le keystore ROOT (si ta CA de tout en haut est dans ROOT).

A plus

[deglingo592003]

Mais si tu as ta CA de tout en haut dans le magasin de certificats, tu as pas besoin d'ajouter les certificats intermédiaires, l'algorithme de vérification de certificat gère tout ça.

Pas exactement puisque mon Autorité racine sert pour "signer" les autorité intermédiaire

ce sont ces autorités intermédiaire qui vont elles signer les certificats clients

donc l'autorité racine peut identifier les intermédiaire et les intermédiaire peuvent identifier les clients

mais si l'intermédiaire n'est pas présent, la racine ne peut identifier directement le client puisqu'il n'y a aucun lien entre les deux

le but de la CA racine est bien de dire, je fait confiance à tout les certificat émis par cette CA racine

mais cette CA racine ne sert que à signer les CA intermédiaire
donc toute les CA intermédiaire sont considéré "de confiance"

ensuite ces CA intermédiaire signe les certificat client donc le certificat client fait confiance à la CA intermédiaire qui elle même fait confiance à la CA racine donc la bingo tout est bon.

par contre si la CA intermédiaire n'est pas présent. le client lui fait confiance à une CA intermédiaire qui n'est pas connu par le magasin système donc il ne peut pas faire de lien avec la CA Racine car il n'y à pas de lien directe

Donc au final non, si la CA racine est présent et pas l'intermédiaire .. au final le client ne peut pas reconstruire la chaine de certification car il lui manque un bout.


Maintenant, il est vrai que sous firefox (par exemple) il n'y a pas cette différence entre autorité racine et intermédiaire ... tout est rangé sous l'onglet "Autorités"

donc au final oui le terme autorité intermédiaire semble être une petite sauce de Microsoft qui serait juste une manière de ranger plus qu'un keystore indépendant comme je pensais au départ.

donc Pour finir, ce que je cherche ne semble pas être possible, du moins pas comme je le voulais.

Par contre, si la CA intermédiaire est importé dans le keystore windows-MY, la chaine de certification semble être reconstruite (même si dans la mmc, le certificat intermédiaire est rangé dans les certificat personnel et pas dans la partie "Autorités intermédiaire"

mais bon cela permet un premier fonctionnement, certe perfectible mais qui permet de dépanner pour le moment

en tout cas mille merci George7 pour votre aide, toujours la pour répondre à mes question sur le domaine de la PKI qui est un endroit vaste où l'on se perd facilement ^^

[Invité]

Dans ta réfutation de mes propos tu as oublié que j'ai dit : "Tu vas recevoir la chaine de certificats". Donc tu auras tous les certificats dont les CAs intermédiaires dans le truc que tu vas tester, c'est ce qui se fait, sinon ça serait un bordel de devoir emmagasiner toutes les CAs de le monde sur ta pauvre petite machine...
Ensuite ne prenons pas le problème à l'envers en disant : "il est vrai que sous firefox (par exemple) il n'y a pas cette différence entre autorité racine et intermédiaire"
Il faut dire : : il est vrai que windows est le seul à séparer ce qui est en fait une CA racine (cf citation RFC) d'une autre CA racine
Mais je vais pas troller, juste que une CA intermédiaire est racine si tu la mets dans ton keystore. As tu essayé de vérifier avec juste la CA racine dans ROOT ?

EDIT :j'avais pas vu : pour avoir un certificat dans MY il faut bien avoir la clef privée associée, non ? avoir la clef privée d'une CA intermédiaire dans son magasin !!!!