Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Certificat de confiance sur équipements industriels

Aucune réponse
Avatar
Jack.R
Bonjour,

J'utilise des contr=C3=B4leurs d'=C3=A9quipements industriels qui ont une b=
ase
Debian Stretch customis=C3=A9e par le fabriquant de la carte CPU.
Ces =C3=A9quipements embarquent un certain nombre de services (serveur
web, serveur ssh, serveur FTP, ...)
Certaines connexions sont chiffr=C3=A9es en SSL avec un certificat
auto-sign=C3=A9.=20
Les versions actuelles de navigateurs (firefox, chrome, ...)
d=C3=A9clenchent syst=C3=A9matiquement un avertissement, il faut mettre une
exception et, si c'est faisable, la rendre permanente.

Imaginez que vous =C3=AAtes l'op=C3=A9rateur qui tous les matins d=C3=A9mar=
re sa
machine avec une belle interface web et qui doit cr=C3=A9er/accepter
l'exception pour un certificat auto-sign=C3=A9 dont il n'a pas la moindre
id=C3=A9e de ce que c'est.=20

Je cherche un moyen de mettre un certificat (ou une cha=C3=AEne) valide et
reconnu par les navigateurs comme de confiance.=20

Une solution style let's encrypt (certbot) ne me semble pas valide car:
- les =C3=A9quipements n'ont pas de connexion avec internet (impossible de
renouveler le certificat),
- l'ip et le nom de machine sont d=C3=A9finis par l'utilisateur final et en
fonction du secteur d'installation il peut m=C3=AAme y avoir du DHCP,
- les =C3=A9quipements ne sont pas forc=C3=A9ment reli=C3=A9s au r=C3=A9sea=
u usine (pas de
possibilit=C3=A9 d'utiliser un serveur interne avec une cha=C3=AEne de
certificats),
- dans la m=C3=AAme machine, je peux avoir plusieurs de ces =C3=A9quipements
(impossible d'avoir un nom de machine/domaine -fqdn- identique)

mkcert comme utilis=C3=A9 ici:
https://lehollandaisvolant.net/?d=3D2019/01/07/22/57/47-localhost-et-https
ne cadre pas car le navigateur n'est pas n=C3=A9cessairement celui embarqu=
=C3=A9
par l'=C3=A9quipement, on peut effectuer un acc=C3=A8s distant pour un =C3=
=A9cran
d=C3=A9port=C3=A9 affichant par exemple le status de l'=C3=A9quipement.

Si certains ont des pistes de recherches, je suis preneur car mes
recherches avec "trusted certificat industrial equipment" et un
apt-cache search certificate ne me retourne pas de r=C3=A9sultat qui me
semblent int=C3=A9ressants.

Rassurez-moi, les =C3=A9diteurs de navigateur ont bien pens=C3=A9 =C3=A0 ce=
cas de
figure lorsqu'ils on d=C3=A9cid=C3=A9 "d'imposer" HTTPS et TLS?
Je me pose la question lorsque je lis la portion "For native apps
talking to web apps" de:
https://letsencrypt.org/docs/certificates-for-localhost/

--=20
Jack.R

Réponses