Open xylle opened 2 years ago
Bonjour, Je reviens vers vous dès que possible (~d'ici fin de semaine) pour répondre à vos différents points. En tout cas, merci pour l'intérêt et les propositions.
Bonjour,
Sauf erreur, votre problème n'est pas lié au fait que votre certificat soit validé par une autorité de certification. Ainsi, si vous utilisez directement le cacert.pem qu'utilise le module "certifi" sur la ligne de commande updatengine-client -i -s https://UESERVER -c cacert.pem
alors vous ne devriez pas avoir de problème.
Vous pouvez ne conserver que la partie qui se rapporte à votre AC. Par exemple, pour api.github.com :
openssl s_client -connect api.github.com:443 -showcerts </dev/null | openssl x509 -outform pem | grep CN
-> On trouve "DigiCert Global Root CA"# Issuer: CN=DigiCert Global Root CA O=DigiCert Inc OU=www.digicert.com
# Subject: CN=DigiCert Global Root CA O=DigiCert Inc OU=www.digicert.com
# Label: "DigiCert Global Root CA"
# Serial: 10944719598952040374951832963794454346
# MD5 Fingerprint: 79:e4:a9:84:0d:7d:3a:96:d7:c0:4f:e2:43:4c:89:2e
# SHA1 Fingerprint: a8:98:5d:3a:65:e5:e5:c4:b2:d7:d6:6d:40:c6:dd:2f:b1:9c:54:36
# SHA256 Fingerprint: 43:48:a0:e9:44:4c:78:cb:26:5e:05:8d:5e:89:44:b4:d8:4f:96:62:bd:26:db:25:7f:89:34:a4:43:c7:01:61
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
import ssl
hostname='api.github.com'
port=443
cafile_local='cacert_github.pem'
ssl.get_server_certificate((hostname, port), ca_certs=cafile_local)
Désolé pour la réponse un peu longue.
Merci, j'ai compris mon problème.
Ajouter le point 1 au client et le point 2 au serveur, simplifierai le travail initial de configuration. Si besoin je peux aider.
Bonjour, La finalité est-elle de s'assurer que le client n'envoie ses données qu'au serveur valide ?
J'y vois la simplification du déploiement et l'amélioration de la sécurité.
Bonjour,
sur mon serveur updatengine, j'utilise un certificat valide. Le client ne reconnaît pas le certificat. Serait il possible de modifier le code de vérification du certificat pour gérer les certificats valident en plus des auto-signés ?
J'ai fait un script qui vérifie le certificat ( auto-signé ou valide), pour l'intégrer dans le code, il faudrait ajouter la librairie certifi