Envoyer un ticket
Bienvenue
Connexion  S'inscrire
  1. Gespage
  2. Accueil des solutions
  3. Gespage Serveur
  4. FAQ Gespage
Open navigation

Linux: Ajout d'un certificat sur Gespage

Cyril Vuibout
Modifié le : Mer, 26 Juill., 2023 à 12:00 H

Ces méthodes sont des exemples  permettant de sécurisé la page utilisateur de Gespage. 

Elle peut être réalisée par vos soins ou directement par notre support en envoyant votre certificat et sa clé privée. 


Nouvelle procédure

Prendre le certificat ainsi que le certificat intermédiaire lisible en .crt ou .pem

Les ouvrir et vérifier le contenu du certificat intermédiaire sous le certificat principal où le contenu devrait ressembler à ceci :


-----BEGIN CERTIFICATE----- xxxxxxx -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- xxxxxxx -----END CERTIFICATE-----

Nous pouvons l'ouvrir sous linux avec la commande suivante :

cat domaine.crt AddTrustCA.crt > bundle.crt

Vérifier que le fichier généré à le même MD5 que la clé privée :

openssl x509 -noout -modulus -in bundle.crt | openssl md5
openssl rsa -noout -modulus -in mydomain.key | openssl md5

Il vous faudra récuperer le fichier cacert.jks situé dans un des dossiers de Gespage (Windows ou Linux).

Vous pouvez le trouver dans le dossier par défaut (ou ci-jointe à cet article) :

C:\Program Files\Gespage\GespageCore\server\config


Une fois récupérée sur votre poste Linux, copier le cacerts.jks de Gespage dans le dossier courant :

cp /root/Desktop/cacerts.jks .

Importer le bundle.crt dans le cacerts.jks:

keytool -import -trustcacerts -alias root_alias_name -file bundle.crt -keystore cacerts.jks -storepass changeit

Et valider le certificat.

Unir et convertir les certificats ainsi que la clé privée dans un fichier .p12 (format pkcs12):

openssl pkcs12 -export -in bundle.crt -inkey mydomain.key -out mydomain.p12 -name s1as

Renseigner le mot de passe suivant : "changeit"

Importer le .p12 dans un keystore.jks

keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore keystore.jks -srckeystore mydomain.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias s1as

Enfin, placer le keystore.jks ainsi que le cacerts.jks dans le fichier config de Gespage puis redémarrer l'application.
----------------------------------------------------------------------------------------------------------------------------------------

Ancienne procédure

Si nous avons seulement un fichier pfx, il faut exécuter les commande suivante:

  • openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
  • openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • openssl rsa -in key.pem -out server.key

Si on nous fournit un certificat avec l'extension .p7b avec à l'intérieur les balises : -----BEGIN PKCS7-----

  • openssl pkcs7 -in certificatname.p7b -print_certs -outform PEM -out certificatname.pem

Il faut ensuite découper le fichier certificatname.pem en certificat et certificats intermédiaires.

L’UDS nous fournit la clé privée, le certificat et le certificat intermédiaire au format PEM (format lisible):

  • Clé privée : corep-printing.u-strasbg.fr.key
  • Certificat : cert-4286-corep-printing.u-strasbg.fr.pem
  • Certificat intermédiaire : chain-4286-corep-printing.u-strasbg.fr.pem

Il faut d’abord convertir la clé privé, le certificat et le certificat intermédiaire (si il est fournit) au format DER

openssl pkcs8 -topk8 -nocrypt -in corep-printing.u-strasbg.fr.key -inform PEM -out corep-printing.u-strasbg.fr.der -outform DER openssl x509 -in cert-4286-corep-printing.u-strasbg.fr.pem -inform PEM -out cert-4286-corep-printing.u-strasbg.fr.der -outform DER openssl x509 -in chain-4286-corep-printing.u-strasbg.fr.pem -inform PEM -out chain-4286-corep-printing.u-strasbg.fr.der -outform DER

Il faut ensuite générer un keystore.jks intégrant la clé privée à partir du programme java ImportKey.java (ci-joint) :

/opt/Gespage/GespageCore/JDK/bin/javac ImportKey.java java ImportKey corep-printing.u-strasbg.fr.der cert-4286-corep-printing.u-strasbg.fr.der

Si on a déjà un keystore car on a créé le CSR nous même, il faut faire la commande suivante pour insérer le certificat dans le keystore.jks (en général, il faut utiliser l'alias s1as) :

keytool -importcert -file certificate.cer -keystore keystore.jks -alias "Alias"

Importer le certificat intermediate au fichier keystore.jks :

keytool -import -alias corep-printing.u-strasbg.fr -file chain-4286-corep-printing.u-strasbg.fr.der -keystore /root/keystore.jks  -trustcacerts

Le fichier keystore est généré sous /root/keystore.jks . Il faut le recopier sous /usr/share/glassfishv3/glassfish/domains/domain1/config. Il faut redémarrer GlassFish pour qu’il soit pris en compte.

Il est possible de convertir un certificat en .CER vers .PEM avec openssl avec a commande suivante:

openssl x509 -inform der -in certificate.cer -out certificate.pem


Cette réponse a-t-elle été utile ? Oui Non

Envoyer vos commentaires
Désolés de n'avoir pu vous être utile. Aidez-nous à améliorer cet article en nous faisant part de vos commentaires.