Bonjour à tous,
J'ai pour vous une petite histoire et une grande question :
Des clients upload des fichiers sur un serveur (par FTP). Voici le processus :
Ces fichiers sont signés par la clé privée d'un PKCS12 en possession du client. Ensuite le certificat X509 (contenant la clef publique), la signature du fichier et le fichier lui-même sont zippés dans une archive et envoyés sur le serveur.
le serveur récupère tout ça et vérifie la signature. On a ainsi la confirmation que l'expéditeur du fichier et bien la personne définie dans le certificat X509.
Problème : Je voudrais pouvoir vérifier que le certificat a bien été distribué par un CA particulier (celui qu'on aura choisi pour fournir les certificats à chaque client).
Ainsi on peut éviter que M. Untel ne génère un certificat auto-signé et qu'il l'utilise pour uploader des fichiers.
Ce type de vérification doit être commun mais étant débutant dans la sécurité, je suis un peu perdu...
Pour info j'utilise la méthode .verify() de la classe X509Certificate mais je crois que celle-ci vérifie uniquement la validité temporelle du certififcat.
Si quelqu'un pouvait m'éclairer sur le sujet...
Merci d'avance à tous
Partager