Certificat HTTPS


#1

Bonjour à tous et toutes, j’ai un peu besoin d’aide

Histoire de m’amuser, je cherche à mettre en œuvre un esp8266 pour allumer une Led à distance (vachement utile, voire même je ne sais pas comment j’ai pu m’en passer jusqu’à ma retraite). J’ai à peu près réussi a activer ma led à partir de l’internet avec une petite authentification en https en utilisant les services d’un DNS. Ce qui me manque :

Pour le https j’ai 2 fichiers :

  • x509.h
  • key.h
    que j’ai générés avec un shell. le cert est donc self-signed. maintenant je voudrais ces deux fichiers mais pas en self-signed histoire que le browser ne gueule pas trop. Bref je souhaite un certificat signé par une autorité reconnue mais pas chère. Quelqu’un peut m’aider ?

Pierre


[Wiki] SmartLock(R)
#2

Alors là …
comprends pas un mot sur 2 :rofl:


#3

Salut Pierre
Je ne sais pas si ca peut t’etre utile mais je pilote mon ESP via Cayenne My Devices ca m’apporte des fonctions supplementaires:
-Choix du widget de visualisation
-tracé de courbes temporelles
-mise en place de conditions (si led allumée action)
-envoi de sms
-activation suivant calendrier

Cordialement


#4

Merci David et Francois, je vais essayer Cayenne, mais j’etais aussi interesse a un peu mieux comprendre comment generer un certificat.
pierre


#5

J’ai moi aussi expérimenté ces petites bestioles. Ex: Pilotage en position d’un moteur PàP avec positionnement par une interface graphique sur mon téléphone : sympa, ça marche, mais sans aucune idée “du pourquoi”:smile: et surtout du “comment” :no_mouth:. On jette des lignes d’instructions et de procédures à la pelle dans le bazar et ça marche !!!
Il y a beaucoup de choses que l’on ne maîtrise pas dans ces applications. Enfin moi :smile:
Si quelqu’un maîtrisait ce domaine, et je dis bien “maîtrisait”, parce que moi aussi, je vois “à peu près comment ça s’articule”, je serais sacrément intéressé. En plus, il me manque le vocabulaire et ça me paraît plutôt obscur comme : << Bref je souhaite un certificat signé par une autorité reconnue mais pas chère >>…


#6

@francois, je peux t expliquer la theorie des certificats, mais je n’ai aucune pratique. C’est justement cette pratique que j’essaye de comprendre avec cet exemple. Quand on se croisera, j’essayerai de t expliquer ce que je sais. C’est assez simple.

Télécharger Outlook pour Android


#7

Il y a Let’s Encrypt qui fournit des certificats gratuitement, mais ils expirent au bout de 3 mois donc il faut le renouveler régulièrement, de préférence de manière automatisée. Il y a plusieurs moyens de les renouveler automatiquement mais ils sont plutôt orientés serveur que microcontrôleur. Si t’es prêt à faire quelques manip’ tous les 3 mois, ou que tu arrives à automatiser toute la chaîne, c’est le moins cher.

Sinon n’importe quel fournisseur payant te fournira un certificat valable un an (certains peuvent faire plus long). Donc il y a le même problème de renouvellement, sauf que c’est moins souvent, et que c’est rarement automatisable.

Dans les deux cas il te faut un nom de domaine associé, et que le DNS soit configuré pour que le domaine envoie sur l’IP de ton esp8266.

Une autre solution si t’es le seul à accéder à ce serveur c’est de dire à ton ordi ou smartphone de faire confiance à ton certificat auto-signé. Dans ce cas tu peux faire un certificat valable autant de temps que tu veux (tu le choisis à la génération). C’est plus ou moins galère à faire suivant le système.

Je peux t’aider pour ces différentes choses suivant ce que tu veux faire.

C’est pas très différent de ce que t’as fait pour l’auto-signé. Le principe général c’est que tu génères une clé et une demande de signature de certificat (CSR), t’envoies le CSR au fournisseur et il te fournit le certificat qu’il a signé avec sa propre clé.

Je maîtrise pas tout mais je connais assez bien le sujet. Si t’as des questions hésite pas. On peut éventuellement prévoir une session à l’ACoLab pour discuter de ça.


#8

Merci mike. Je vais essayer avec let’s encrypt. Le renouvellement n est pas pour le moment un pb car une fois que ca marchera, je sais pas encore ce que j’en ferai :grinning:. J’ai deja cree une entree dans un Dns (pinatl. Ddns. Net) et ca marche quand mon ESP
est allume. Si je n y arrive pas je viendrai vers toi.

Pierre

Télécharger Outlook pour Android


#9

Il faudra que tu prouves que le domaine est à toi. C’est très simple quand tu fais faire le certificat par celui qui t’a fourni le domaine, mais dans les autres cas ça peut être un peu galère, surtout quand c’est un sous domaine comme tu as toi.

Avec let’s encrypt le plus courant pour prouver que c’est ton domaine c’est d’avoir un serveur web sur le domaine et de placer un petit fichier à un endroit spécial. Il faut utiliser un programme spécial pour ça, mais il suppose généralement que tu as un serveur web sur le même ordi, ce qui n’est pas ton cas (le programme ne saura pas comment mettre le fichier sur ton ESP). Certains proposent un mode “standalone” où le programme fait son petit serveur web temporaire le temps de faire le certificat. C’est sûrement le plus simple pour toi. Il faudra que les requêtes HTTP sur le nom de domaine en provenance d’internet arrivent sur l’ordi qui fait la demande de certificat (tu pourras le remettre vers ton ESP après).

Il y a acme.sh que j’utilise souvent et qui a un mode standalone, mais ce n’est sûrement pas le seul.


#10

largué de chez largué :rofl: