Bonjour à tous,
 
Voilà je viens de configurer mon serveur apache-tomcat5.5 pour faire des connexions sécurisées https.
Donc logiquement j'ai créé un certificat perso avec keytool.
 
Mais mon soucis vient du fait que le certificat n'est pas jugé digne de confiance (par firefox et ie je pense) et que donc l'acces à une de mes applis web n'est plus possible  
 
Je voudrais avoir confirmation que seul le navigateur juge digne de confiance (trustable) ou non mon certificat et que c'est lui qui bloque apres alors l'acces (j'obtiens une erreur redirect loop car, je pense, l'appli retente de contacter le serveur qui renvoie les données avec le même certificat qui est a nouveau rejeté ainsi de suite...) et que ce n'est pas mon appli web qui rejette mon certificat.
 
Et à ce moment la, est il possible de configurer (ou de leurrer) firefox, IE (safari, chrome, opera...) pour qu'il accepte mon certificat. Ou comment est il possible de rendre un certificat valide pour le navigateur mais de façon gratuite et si possible sans avoir recours à une tierce personne.
 
merci d'avance pour vos astuces, éclaircissements, participations, réponses, solutions...  
 
K.

il te faut ta CA, que tu génères une clé privé et une CSR, tu envoies la CSR à ta CA qui te donne le certificat (donc signée par une autorité non publique) et ensuite tu déploies le certificat racine de ta CA sur les postes.

Si c'est juste pour tester, au pire tu peux exporter ton certificat (sans la clé publique tant qu'à faire) sur ton poste et l'ajouter au magasin des CA. C'est pas propre mais pour tester ça passe

Ok merci pour vos réponses,  
 
J'ai juste besoin de quelques précisions :  
quand tu dis il te faut ta CA (certification authority ? ) cela veut dire qu'il faut que je me rapproche d'un organisme de certification ? ou je peux etre ma CA a moi car je voudrais ne pas passer par une tierce personne.
Par la même occasion jme demandais comment générer une clé privé et ce que qu'était un CSR.
J'ai utilisé keytool pour généré un certificat qui m'a donné un fichier temp.keystore mais j'ai vu également qu'on pouvait utiliser openssl qui donnait un fichier .crt qu'elle est la différence entre les 2 ? et lequel je devrais utilisé ?  
Je@nb quand tu dis exporter mon certificat c'est juste copier coller mon temp.keystore sur mon poste ? et ensuite le rajouter par firefox ds le magasin des CA (dans tools/option/advanced/encryption je suppose)  ?
 

te faut un crt./cer/pfx/.. Après je connais pas keytool je sais pas si tu peux faire ça

Bon, je suis sur le point d'abandonner le fait de feinter les navigateurs c'est un peu trop contraignant  
 
je vais quand même essayer d'exporter un certificat de ma fabrication et de l'ajouter au magasin de CA ds Firefox si c'est possible  
 
Je m'orientais donc plutot vers une autre solution qui n'est peut etre pas possible qui serait d'obtenir un certificat non auto signé mais fait par moi, je ne sais pas encore vraiment comment m'y prendre je vais étudier ça.
 
Sinon j'ai lu que l'on pouvias obtenir des certificats via cacert, peut etre pourriez vous m'en dire plus concernant les modalités et ce que cela vaut.
 
En fait je pense aussi que ma question principale est : est ce qu'il existe une solution (gratuite, sans CA, propre et efficace...) pour que mon certificat soit accepté et que je puisse accéder a mon appli ou alors c'est foutu ?
 
merci pour vos réponses ça me permet d'avancer

normalement avec un certificat auto signé ça doit fonctionner (avec un warning) non ?

oui cela doit fonctionner, il y a un message d'avertissement dans firefox et IE, mais cela passe.  Chez nous C'est comme ça que l'on teste les accès en https sur des sites en dev/test.

Le problème de base reste la présence du root CA dans le magasin d'IE/Firefox etc pour les autorités reconnues.
 
Donc soit tu utilises un root CA que tu crées toi meme et que tu diffuses ensuite dans tout ton parc (via GPO par exemple), soit tu apprends aux gens à passer l'alerte de sécurité qui indique que le site/service en train d'être accédé n'est pas digne de confiance.
 
Ou alors tu sors ton portif et tu demandes un certif a Verisign ou autre. On m'a indiqué récemment que c'était de l'ordre de 120€/an ce que je trouve pas très cher.

les prix dépendent de beaucoup de choses (CA, type de certificat, algo de chiffrement supportés, nbre de FQDN associés...)

En fait je cherche a résoudre cette erreur :  
 
error in accessing cas service :
org.soulwing.cas.client.ServiceAccessException : javax.net.ssl.SSLHandshakeException : sun.security.validator.ValidatorException :  
PKIX path building failed sun.security.provider.certpath.SunCertPathBuilderException : unable to find valid certification path to request target.
.
.
.
[soulwing.cas.client.DefaultValidatorImpl] assuming that ticket ST-127-a456DF6efsqQ85SD8QDfs4-cas is stale
 
c'est le seul indice que j'ai dans tomcat... Donc cela doit venir du certificat mais ac ce que vous me dites sa devrait quand même marcher
 
a moins que cela vienne du fait que je n'accepte le certificat que la premiere (sans dire accepter pour tte les autres fois) et que lors de la communication avec le serveur je change de session (bizarre) et que ça me sorte du coup l'erreur...
 
en tout cas merci pour vos réponse ça fait plaisir

explications trouvées sur google en 10 sec  
 
http://www.java-samples.com/showtu [...] rialid=210

merci pour le lien  
mais j'ai toujours le même probleme malgré que mon certificat soit dans le keystore de java, ma web appli me sort toujours la même erreur

Microsoft 2003 server possede son propre Certification Autority ( gratuit )
Tu peux alors faire des demandes de certificat pour tes autres server, user, computer, apps, WebServer etc... une fois que tu as généré les certificat, tu n'as qu'as déployer le CA ( celui de ton server ) et les certificat que tu as généré. Tu peux aussi te servir du AutoEnrollment
Biensur, ca te prend un environement Microsoft quelque part mais tout est gratuit du coté Certificat