Discussion :

[biniou14]

Bonjour à tous,

J'ai un projet Web qui va nécessité du cryptage et je ne suis malheureusement pas un spécialiste de la question.
L'idée est de recevoir sur un serveur Web des documents provenant de clients certifiés.

Pour ceci, je souhaite que le serveur Web crée des certificats pour ces clients (envoyés par mail ou sur clé USB) et qu'ensuite, le client (browser internet) utilise ce certificat pour crypter le document à destination du serveur.
L'idée est que le serveur doit pouvoir authentifier le document comme provenant bien de ce client et le décrypter.

J'imaginais utiliser du SSL et (mais je fais peut être complément fausse route) générer des X.509 coté serveur pour les rajouter automatiquement à la trustlist d'Apache.

Les questions sont alors :
- Pourrais-je bloquer l'accès à certaines URL de mon application (la JSP de reception de document multiform/post-data) pour obliger (sur ces urls et celles-ci seulement) le client à avoir un certificat (disons que mon appli a une partie publique et cette fonction d'upload restreinte) ?
- Pourrais-je récupérer dans mon Tomcat (caché derrière Apache) les informations contenus dans le certificat (soit l'identité de l'émetteur) ?
- Puis-je faire ce mécanisme avec Tomcat seul ou suis-je obligé d'utiliser Apache (i.e. y'a t'il un mécanisme de truststore dans Tomcat) ?
- Comment m'appelle-je ?
- Suis-je sur le bon chemin ou complètement dans le fossé ?

Je suis ouvert à toute suggestion

D'avance merci,

Biniou_qui_a_sorti_les palmes

[Invité]

Salut,

Une remarque : de ce que j'ai compris tu veux faire deux choses:
1/ vérifier que les données viennent du client
2/ crypter les données envoyées par le client

Il te faut donc deux types de certificats pour le client : un pour signer les données et un pour crypter.
SSL te permet de le faire : http://fr.wikipedia.org/wiki/SSL
Je ne sais pas si ce lien pourra t'aider mais à tout hasard : http://tomcat.apache.org/tomcat-3.3-...ssl-howto.html

Bonne journée