Certificat valide

[xylle]

Bonjour,

sur mon serveur updatengine, j'utilise un certificat valide. Le client ne reconnaît pas le certificat. Serait il possible de modifier le code de vérification du certificat pour gérer les certificats valident en plus des auto-signés ?

J'ai fait un script qui vérifie le certificat ( auto-signé ou valide), pour l'intégrer dans le code, il faudrait ajouter la librairie certifi

#!/usr/bin/python3
import ssl
import certifi
import os

# Server address
hostname = "updatengine.example.com";
port = "443";

# Retrieve the server certificate in PEM format
try:
    cert = ssl.get_server_certificate((hostname, port));
    # print(cert);
    print("Certificat serveur trouvé")
except:
    print("Impossible de récupérer le certificat du serveur")

try:
    cert = ssl.get_server_certificate((hostname, port), ssl_version=ssl.PROTOCOL_SSLv23, ca_certs=os.path.relpath(certifi.where()));
    # print(cert);
    print("Certificat validé")
except:
    print("Le certificat n'est pas reconnu par une autorité Officiel")
    try:
        cert = ssl.get_server_certificate((hostname, port), ssl_version=ssl.PROTOCOL_SSLv23, ca_certs="cacert.pem");
        # print(cert);
        print("Le certificat autosigné fournit correspond")
    except:
        print('Le certificat fournit ne correspond pas')

[noelmartinon]

Bonjour, Je reviens vers vous dès que possible (~d'ici fin de semaine) pour répondre à vos différents points. En tout cas, merci pour l'intérêt et les propositions.

[noelmartinon]

Bonjour, Sauf erreur, votre problème n'est pas lié au fait que votre certificat soit validé par une autorité de certification. Ainsi, si vous utilisez directement le cacert.pem qu'utilise le module "certifi" sur la ligne de commande updatengine-client -i -s https://UESERVER -c cacert.pem alors vous ne devriez pas avoir de problème. Vous pouvez ne conserver que la partie qui se rapporte à votre AC. Par exemple, pour api.github.com :

• Identification de l'AC du site : openssl s_client -connect api.github.com:443 -showcerts </dev/null | openssl x509 -outform pem | grep CN -> On trouve "DigiCert Global Root CA"
• On met donc dans _cacertgithub.pem :

  # Issuer: CN=DigiCert Global Root CA O=DigiCert Inc OU=www.digicert.com
  # Subject: CN=DigiCert Global Root CA O=DigiCert Inc OU=www.digicert.com
  # Label: "DigiCert Global Root CA"
  # Serial: 10944719598952040374951832963794454346
  # MD5 Fingerprint: 79:e4:a9:84:0d:7d:3a:96:d7:c0:4f:e2:43:4c:89:2e
  # SHA1 Fingerprint: a8:98:5d:3a:65:e5:e5:c4:b2:d7:d6:6d:40:c6:dd:2f:b1:9c:54:36
  # SHA256 Fingerprint: 43:48:a0:e9:44:4c:78:cb:26:5e:05:8d:5e:89:44:b4:d8:4f:96:62:bd:26:db:25:7f:89:34:a4:43:c7:01:61
  -----BEGIN CERTIFICATE-----
  MIIDrzCCApegAwIBAgIQCDvgVpBCRrGhdWrJWZHHSjANBgkqhkiG9w0BAQUFADBh
  MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
  d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBD
  QTAeFw0wNjExMTAwMDAwMDBaFw0zMTExMTAwMDAwMDBaMGExCzAJBgNVBAYTAlVT
  MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
  b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IENBMIIBIjANBgkqhkiG
  9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4jvhEXLeqKTTo1eqUKKPC3eQyaKl7hLOllsB
  CSDMAZOnTjC3U/dDxGkAV53ijSLdhwZAAIEJzs4bg7/fzTtxRuLWZscFs3YnFo97
  nh6Vfe63SKMI2tavegw5BmV/Sl0fvBf4q77uKNd0f3p4mVmFaG5cIzJLv07A6Fpt
  43C/dxC//AH2hdmoRBBYMql1GNXRor5H4idq9Joz+EkIYIvUX7Q6hL+hqkpMfT7P
  T19sdl6gSzeRntwi5m3OFBqOasv+zbMUZBfHWymeMr/y7vrTC0LUq7dBMtoM1O/4
  gdW7jVg/tRvoSSiicNoxBN33shbyTApOB6jtSj1etX+jkMOvJwIDAQABo2MwYTAO
  BgNVHQ8BAf8EBAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUA95QNVbR
  TLtm8KPiGxvDl7I90VUwHwYDVR0jBBgwFoAUA95QNVbRTLtm8KPiGxvDl7I90VUw
  DQYJKoZIhvcNAQEFBQADggEBAMucN6pIExIK+t1EnE9SsPTfrgT1eXkIoyQY/Esr
  hMAtudXH/vTBH1jLuG2cenTnmCmrEbXjcKChzUyImZOMkXDiqw8cvpOp/2PV5Adg
  06O/nVsJ8dWO41P0jmP6P6fbtGbfYmbW0W5BjfIttep3Sp+dWOIrWcBAI+0tKIJF
  PnlUkiaY4IBIqDfv8NZ5YBberOgOzW6sRBc4L0na4UU+Krk2U886UAb3LujEV0ls
  YSEY1QSteDwsOoBrp+uvFRTp2InBuThs4pFsiv9kuXclVzDAGySj4dzp30d8tbQk
  CAUw7C29C79Fv1C5qfPrmAESrciIxpg0X40KPMbp1ZWVbd4=
  -----END CERTIFICATE-----

• On peut vérifier dans un shell python3 :

  import ssl
  hostname='api.github.com'
  port=443
  cafile_local='cacert_github.pem'
  ssl.get_server_certificate((hostname, port), ca_certs=cafile_local)

  Désolé pour la réponse un peu longue.

[xylle]

Merci, j'ai compris mon problème.

1. Serait il possible que le client puisse valider un certificat reconnu par une autorité officielle et valider que cette autorité correspond à l'enregistrement CAA dans le DNS, sans lui fournir de certificat ?
2. Serait il possible sur le serveur updatengine de faire un menu qui retourne le certificat à utiliser avec le client ?
3. Comment faites vous pour générer les commentaires du certificat ?

Ajouter le point 1 au client et le point 2 au serveur, simplifierai le travail initial de configuration. Si besoin je peux aider.

[noelmartinon]

Bonjour, La finalité est-elle de s'assurer que le client n'envoie ses données qu'au serveur valide ?

[xylle]

J'y vois la simplification du déploiement et l'amélioration de la sécurité.