OpenSSL Chavers et SCG

mickadam · Mars 6, 2009, 10:37

Bonjour,

J’ai utilisé la solution openssl de Chavers pour créer mes certificats. Autorité de certification et certificat serveurs.

Ces certificats sont utilisés afin de mettre en oeuvre un WI 5 et CSG 3.1 dans une DMZ

WI et CSG sont sur le même serveur sous WINDOWS 2003.

Les ports sont différents et la CSG écoute sur le 443.

Les règles du firewall sont ok.

Là où j’ai des soucis c’est pour utiliser le client java de la WI 5.

Le client Natif ainsi que le client Incorporé fonctionnent correctement.

Toutefois, avec le client java (jre 1.6_12) sur le pc, j’obtiens systématiquement “Vous ne faites pas confiance… à l’autorité de certification”.

J’ai importé mon certificat CA sur mon pc, sinon le client lourd et incorporé ne fonctionnerait pas.

J’ai indiqué sur la wi le chemin d’accès du certificat CA.

Que faut-il que je fasse en plus pour faire fonctionner la CSG avec le client Java ?

Le certificat CA généré par openssl est-il compatible en l’état ? Dois-je le convertir ?

D’avance, merci pour vos réponses.

mickadam · Mars 17, 2009, 4:45

Bjr,

Personne pour m’aider ?

J’ai essayé avec un certificat provisoire Verisign. Mêmes problèmes.

J’ai loupé la génération chez GeoTrust. Donc bloqué de ce côté.

Connaissez vous d’autres gestionnaires de certificats connus comme étant dignes de confiance. J’entends par là

qu’il est inutile d’ajouter ou modifier les liste des autorités de confiance d’un poste windows (ie6/7).

Je rappelle que mon souhait est de faire fonctionner une WI 5 derrière une CSG 3.1 et que le client soit le client Java.

ThinIsFat · Mars 18, 2009, 7:55

Quand tu utilises une autorité différentes de celles reconnues par le client Java (je ne sais plus s’il se base sur la JVM pour cela, faudrait creuser), il faut ajouter le certif racine dans les tag du client Java dans la WI.

http://support.citrix.com/article/ctx106749 How to Use Private Certificates with the Client for Java 9.0

mickadam · Mars 18, 2009, 8:59

bjr,

Merci de ta réponse thinisfat.

Je viens juste de solutionner provisoirement mon problème.

La solution java fonctionne après avoir importé à l’aide de keytool (java) mon certificat CA dans le keystore

de la jre 1.6. J’ai perdu mon temps car il me semblait que cela ne s’appliquait qu’aux version 1.4 et 1.5 de Java et que le 1.6 reprenait les certificats à partir d’IE. De plus lors de mes tentatives précédentes je ne connaissais pas ce fameux mot de passe “changeit” !!!

Maintenant que mon autorité est importé je la vois correctement dans les certificats de la jre :

AC de site sécurisé dans la partie Système. (ci-joint copie écran)

Comme il s’agit d’une solution pour un client, je vais devoir le convaincre d’acheter un certificat. Impossible en effet de faire faire l’import du certificat par des utilisateurs.

A moins qu’il y ait une autre solution ??? Du style une URL particulière avec du code pour “injecter” le certificat racine dans la jre.

Merci encore pour l’aide apportée. Je vais pouvoir présenter une maquette.

legsam · Mars 18, 2009, 9:10

"mickadam" wrote:

J'ai perdu mon temps car il me semblait que cela ne s'appliquait qu'aux version 1.4 et 1.5 de Java et que le 1.6 reprenait les certificats à partir d'IE.

Si il faut l'ajouter aux autorités racine de confiance et que tu es dans un domaine, tu peux le faire en GPO.
N'ayant jamais utilisé le client Java, je ne sais pas si je suis à coté de la plaque...

frederichuet · Mars 18, 2009, 10:01

Je n’ai jamis achete de certificats. Et dans ma configue, j’ai crer un certificats root et un serveur pour la secure gateway…

J’utilise le client java de ctx et tous est ok.

Bizarre

mickadam · Mars 18, 2009, 3:23

Salut Fred,

Oui, j’utilisais également un certificat root et serveur auto-signés sur une plateforme NFUSE et CSG 2.0

Avec des jre anciennes cela ne posait pas de soucis. Le certificat root était renseigné dans la conf de nfuse

et transmis au client à la demande.

Or il semble aujourd’hui qu’avec des jre nlles versions (en particulier 1.6 et +), les certificats root ne sont plus “importables”.Même si renseigné dans la rubrique Client Java de la WI. Donc, on obtient ce problème de confiance envers l’entité qui a validé le certificat serveur.

Je crois avoir lu que dans la version 1.6 on pouvait cocher une option pour que la jre reprenne les certificats d’IE

Dans ce cas, j’ai trouvé une doc pour modifier la WI (en version 4.6) et inclure un lien qui permettrait à l’utilisateur final d’importer le certificat root. Mais pas trouvé dans jre comment utiliser ce mode.

Maintenant si qq’un utilise une solution similaire CSG 3.1 + WI 5 + client java 9.xx + certificat privé et Client Java du côté utilisateur, sans problème particulier, je suis interessé pour qu’on en discute. L’importance de ce client java est de pouvoir utiliser des applications métiers dans des lieux publics ou sur des postes sur lesquels on souhaite ne rien installer.

Malheureusement, sans ce certificat de confiance, il nous faut intervenir sur les postes pour renseigner le certificat racine dans la jre.

Pour infos, j’utilise les certificats générés par la solution easyssl téléchargé sur ce site. Donc j’imagine ne pas être le seul.

Cdt,

mickadam · Mars 18, 2009, 4:58

Bjr,

Voici le lien en français qui permet de mieux comprendre :

(à partir de la page 60)

http://support.citrix.com/servlet/KbServlet/download/6345-102-17323/ICAJava.pdf

Ce qui est traité pour la jre 1.4.2 est valable pour la 1.6.12

Les certificats privés doivent être importés. Il n’y pas l’option “Utiliser les certificats stockés dans le navigateur” dans l’onglet avancé - sécurité.

Remarque Pour utiliser des certificats racine stockés dans le magasin de clés

Windows, la machine cliente doit exécuter Microsoft Windows, Microsoft

Internet Explorer et Java 1.5.x.

Conclusion : Achat de certificat auprès d’une autorité de confiance connue dans le java store.