Récupérer/créer un nouveau certificat P12

Bonjour. J'ai lu les échanges sur les P12 mais je n'ai pas trouvé une réponse à  mon problème. Que voici :

J'ai crée avec un partenaire développeur pour un client une app. Ce client, qui ne voulait pas gérer les aspects de publication, nous a donné le compte admin de son compte. Le partenaire a créé le P12 sur son Mac.

Le partenaire n'est plus partenaire et reste injoignable. Je dois recréer le P12 pour mettre à  jour l'app et aussi pour permettre à  mon client de publier d'autres apps. Or je n'ai pas accès à  la clé privée créée par le partenaire de l'époque.



Qu'a prévu Apple dans ce cas ? Que faut-il faire ? Par exemple si le mac qui a servi a créer la clé privée disparaà®t ? Il y a bien une procédure ?

Merci pour votre réponse.
Mots clés:

Réponses

  • zoczoc Membre
    mai 2012 modifié #2
    Bah justement, une clé privée est une clé privée... Personne n'a de double, même pas Apple, puisque cette clé ne lui est jamais transmise (demande de certificat ne contient que la clé publique, jamais la clé privée). C'est bien pour cela qu'il est impératif de faire une sauvegarde, sauvegarde stockée dans un lieu sécurisé (idéalement coffre fort, quoi...).



    Là , la seule solution que je vois, c'est de révoquer le certificat existant ainsi que tous les profils de développement/distribution et de demander un nouveau certificat à  partir d'une clé privée générée sur ta machine. Tout cela, évidemment, à  partir de l'"iOS Provisionning Portal" sur http://developer.apple.com



    Par contre, j'ai bien peur (à  confirmer, mais ça serait logique en cas de vol de clé privée) que la révocation d'un certificat entraine le blacklistage de toutes les applications existantes ayant été signées par ce certificat. C'est cependant sans conséquence si votre client n'a pas déjà  distribué des applications sur le store.



    La révocation aura de plus pour effet d'empêcher votre ex partenaire de publier des applications au nom de votre client. Cette révocation est donc particulièrement conseillée, même si vous arrivez à  mettre la main sur la clé privée, surtout si votre collaboration ne s'est pas terminée en bon termes...
  • MT1968MT1968 Membre
    Merci. 2 questions.
    • J'ai tout de même le P12 généré de l'époque mais il n'est plus valide. ça peut aider ?
    • Si je révoque le certificat existant et tous les profils, est-ce que cela aura une influence sur les apps développés avec ce P12.
    • Enfin le "user agent" est mon client. Comment un développeur tiers qui ne'st pas le user agent peut ainsi rester "propriétaire' de la génération du P12.


    Merci pour tes précisions.
  • zoczoc Membre
    mai 2012 modifié #4
    Un fichier P12 contient généralement le couple de clés (certificat contenant la clé publique signée + clé privée). S'il n'est plus valide, c'est parce que le certificat qu'il contient n'est plus valide (il a une date d'expiration, contrairement à  la clé privée), sans doute parce que, depuis sa création, l'abonnement au programme développeur a du être renouvelé, ce qui implique la création d'un nouveau certificat (les certificats délivrés par Apple ont une durée de validité d'un an).



    Donc en l'état, il ne contient surement pas la clé privée qui a servi à  générer la demande du certificat en cours de validité, et est donc inutile.



    Ma réponse au 2ème point, je l'ai faite dans mon premier message (le paragraphe qui nécessite d'être confirmé, personnellement je n'ai jamais été confronté à  ce problème).



    Pour le 3ème point... Le portail d'Apple dispose d'une sécurité supplémentaire puisqu'il est nécessaire de s'authentifier par un login/mot de passe pour y accéder. Mais clairement, toute personne qui connais ces informations et a accès au certificat et sa clé privée peut publier des applications. Je ne faisais que généraliser en précisant que tout certificat numérique basé sur une clé privée qui est "partie dans la nature" doit être révoqué, par sécurité.
  • MT1968MT1968 Membre
    Merci de ces précieux conseils. Mais je trouve toute de même fou que par ex un client qui ne connait rien en dévloppement mais qui souhaite avoir un programme de publication d'apps en travaillant avec plusieurs développeurs puisse dépendre d'une clé privée générée sur une machine physique et personelle.



    Merci
  • AliGatorAliGator Membre, Modérateur
    Bah dans ce cas :

    - soit chaque prestataire qu'il fait intervenir pour faire ses applications se charge aussi de publier l'application sur le store, mais via leur propre compte et leur propres clés privées (et l'application sera publiée au nom du prestataire)

    - soit la boite apprend à  publier une application dont un prestataire lui fournit le code source, c'est à  dire juste à  la signer et la publier sur le store

    - soit la boite fournit la clé privée au prestataire, mais s'assure par un contrat qu'il fait confiance au prestataire puisqu'il lui fournit quand même la clé privée permettant de se faire "passer pour lui" et donc de signer à  sa place.





    C'est comme si tu étais chef d'entreprise et avais besoin de signer des papiers, mais que tu ne savais pas lire ou pas traiter la paperasse.

    Soit tu apprends à  lire ou à  traiter la paperasse et à  signer les papiers toi-même, soit tu laisses quelqu'un d'autre signer à  ta place, avec sa propre signature du coup, mais du coup c'est son nom qui apparaà®tra comme personne ayant traité le dossier, soit enfin tu files ton tampon à  quelqu'un de confiance, qui validera la paperasse à  ta place avec ton tampon/ta signature, au risque qu'il puisse ensuite si ça l'amuse signer à  ta place aussi des tas d'autres documents...
  • MT1968MT1968 Membre
    Bien retenu la leçon mais mais quand on débute, ce qui était notre cas à  l'époque, le système n'est pas du tout évident. Merci pour la doc.
  • MT1968MT1968 Membre
    Dernière crainte et je vous embête plus : [font=arial, sans-serif] si je révoque le certificat pour en recréer un autre, j'ai une crainte pour mes abonnés au Push. J'ai peur de les perdre. C'est là  ma véritable crainte. Si on régénère l'application avec un nouveau certificat, l'ancien serveur pem qui est utilisé pour le push va t'il fonctionner pour le nouveau? [/font]
  • StephSteph Membre
    Moi maintenant pour les prestas, je demande le .app et je le signe ensuite chez mon client en ligne de commande et en output j'obtiens un .ipa signé avec le certificat de mon client. Plus besoin de fournir aux prestas la clé publique et la clé privée pour qu'il me livre l'app.
Connectez-vous ou Inscrivez-vous pour répondre.