Discussion :

[Papipen]

Bonjour,

je travaille sur la signature XML. Actuellement, je me base sur un keystore et j'extrais la clé privée et la chaine de certificats à partir de celui-ci pour signer le document.

je voudrais faire la même chose mais en utilisant directement des fichiers .pem comme par exemple : cleprivee.pem et chaindecertificats.pem

J'aurais voulu savoir comment pouvait-on faire cela ?

merci

[Invité]

Salut,

A première vue je dirais : pourquoi ? Tu peux avoir un fichier Pkcs#12 qui a un énorme avantage : la clef privée et la chaine de certificats dans un seul fichier qui est protégé (j'espère que ta clef au format PEM est protégée par un mot de passe quand même). Mettre la clef privée dans un fichier au format PEM est une mauvaise idée je pense (oui je sais Apache httpd server le fait bien...), car c'est se compliquer la vie à mon sens (deux fichiers indépendants plus qu'un, la clef privée est-elle signée dans le format PEM ?).
Si tu souhaites avoir un format non spécifique à Java pour signer tes XML, alors je recommande le Pkcs#12 (attention toutefois le support de base de ce format par le provider de SUN est rudimentaire et pas forcément très bon, donc il vaut mieux utiliser un Provider tel que Bouncy Castle). Pour utiliser ce type de fichier, c'est en fait un keystore normal Java, mais lors de l'instantiation, au lieu de "JKS" on donne "PKCS12" comme type de keystore.
Ceci dit si tu veux absolument avoir deux fichiers PEM (genre tu reçois ces deux fichiers), et bien là encore un keystore est la solution, dans lequel tu charges tes fichiers pour pouvoir utiliser certificats et clef privée (mais encore une fois, cette solution n'est pas sécurisée), regarde du côté de ,%20java.security.cert.Certificate[])]setKeyEntry une fois que tu as chargé ta chaine de certificats et ta clef en flux d'octets.
bref la doc de KeyStore donne des exemples et devrait bien t'aider.
Si tu émets toi même les fichier, je te conseille de génèrer un fichier Pkcs#12.

Bon courage