🔐 Renouveler le certificat SSL de PaperCut MF : guide complet et à jour (2025)

Vous utilisez PaperCut MF pour gérer l’impression dans votre organisation et devez renouveler le certificat SSL pour assurer une connexion sécurisée via HTTPS ? Ce guide détaillé vous accompagne pas à pas, du téléchargement du nouveau certificat jusqu’à son intégration dans le keystore Java de PaperCut.

---

✅ Pourquoi renouveler le certificat SSL de PaperCut ?

PaperCut MF expose une interface web (interface admin, utilisateur, mobilité) accessible via HTTPS. Comme toute application sécurisée, son certificat SSL doit être renouvelé régulièrement pour :

• Éviter les alertes navigateur « connexion non sécurisée »
• Assurer la compatibilité avec les navigateurs modernes
• Conserver une chaîne de confiance complète (serveur + intermédiaires + racine)

---

📁 Prérequis

Avant de commencer, vous devez avoir :

• Le nouveau certificat serveur (.crt ou .p7b)
• La clé privée correspondante (.key)
• Les certificats intermédiaires + racine (pour compléter la chaîne)
• L’accès au serveur hébergeant PaperCut
• KeyStore Explorer ou l’outil CLI de PaperCut create-ssl-keystore

A noter qu’on peut l’installer via scoop.sh : scoop install extras/keystore-explorer

---

🛠️ Étape 1 : Préparer la chaîne complète (fullchain)

Le certificat SSL utilisé par PaperCut doit inclure :

1. Le certificat serveur (ex. papercut.test.local)
2. Le ou les certificats intermédiaires
3. Le certificat racine

📝 L’ordre est important : serveur → intermédiaire(s) → racine

🔄 Si vous avez un .p7b :

Utilisez cette commande pour extraire les certificats au format PEM :

openssl pkcs7 -print_certs -in certificat.p7b -out fullchain.pem

---

🔗 Pourquoi faut-il une chaîne complète de certificats (fullchain.pem) ?

Lors du déploiement d’un certificat SSL pour sécuriser une application comme PaperCut, il est impératif d’utiliser un fichier contenant toute la chaîne de certification, appelé généralement fullchain.pem. Ce fichier regroupe, dans l’ordre, le certificat du serveur, suivi des certificats intermédiaires et enfin du certificat racine de l’autorité de certification.

Sans cette chaîne complète, de nombreux clients (navigateur web, API, outils d’administration, mais surtout les environnements Node.js comme Uptime Kuma) ne seront pas en mesure de vérifier la légitimité du certificat, même si celui-ci est parfaitement valide. Cela se traduit par des erreurs comme unable to verify the first certificate ou unable to get local issuer certificate.

Fournir un fullchain.pem garantit que tous les éléments nécessaires à la validation SSL sont disponibles côté serveur, évitant ainsi les erreurs de connexion sécurisée. Cela permet également une meilleure compatibilité avec des outils automatisés de supervision ou d’intégration (ex : monitoring, impression mobile, etc.).

🖥️ Étape 2 : Créer un nouveau keystore Java

🧩 Option 1 : Avec KeyStore Explorer (interface graphique)

1. Lance KeyStore Explorer
2. Menu Tools > Import Key Pair
3. Choisissez :
   • La clé privée (.key)
   • Le certificat serveur (.crt)
4. Ajoutez ensuite les certificats intermédiaires et racine via :
   • Clic droit sur l’alias → Add Certificate to Chain...
5. Vérifiez que la hiérarchie est complète : Certificat serveur └── Intermédiaire └── Racine
6. Enregistrez sous papercut-ssl.jks avec un mot de passe robuste.

---

🧩 Option 2 : En ligne de commande avec create-ssl-keystore

cd "C:\Program Files\PaperCut MF\server\bin\win"

create-ssl-keystore ^
  -f ^
  -k "C:\Program Files\PaperCut MF\server\custom\papercut-ssl.jks" ^
  -keystoreentry standard ^
  -cert "C:\certs\cert.pem" ^
  -key "C:\certs\cert.key" ^
  -keypass MonMotDePasseCle ^
  -keystorepass MonMotDePasseKeystore ^
  -keystorekeypass MonMotDePasseCle ^
  -certCA "C:\certs\fullchain.pem"

---

⚙️ Étape 3 : Configurer PaperCut pour utiliser le nouveau certificat

Modifiez le fichier server.properties :

📄 Emplacement :

C:\Program Files\PaperCut MF\server\server.properties

📌 Ajoutez ou mettez à jour les lignes suivantes :

server.ssl.keystore=C:\Program Files\PaperCut MF\server\custom\papercut-ssl.jks
server.ssl.keystore-password=MonMotDePasseKeystore
server.ssl.key-password=MonMotDePasseCle

✅ Assurez-vous que les chemins ne contiennent pas d’espaces non protégés et que les mots de passe sont corrects.

---

🔁 Étape 4 : Redémarrer PaperCut

Méthode graphique :

• Ouvrez services.msc
• Redémarrez le service PaperCut Application Server

Méthode en ligne de commande :

net stop "PaperCut Application Server"
net start "PaperCut Application Server"

---

🧪 Étape 5 : Vérifier que le nouveau certificat est bien chargé

Vous pouvez tester :

✅ Dans un navigateur

• Ouvrez : https://papercut.test.local
• Cliquez sur le cadenas → Afficher le certificat
• Vérifiez :
  • Le CN correspond au domaine
  • La date d’expiration est à jour
  • La chaîne de certification est complète

✅ En ligne de commande :

openssl s_client -connect papercut.test.local:443 -showcerts

Regardez le Verify return code: 0 (ok)

---

📦 Bonus : où récupérer les certificats intermédiaires et racine ?

• Si vous utilisez GEANT OV RSA CA 4 :
  • Intermédiaire : GEANT OV RSA CA 4 (crt)
  • Racine : USERTrust RSA Certification Authority

Vous pouvez les retrouver sur :

• crt.sh
• Sectigo
• GEANT Trust Anchor Repository

---

✅ Conclusion

Le renouvellement du certificat SSL pour PaperCut est une étape cruciale pour garantir la sécurité de l’accès web. Grâce à des outils comme KeyStore Explorer ou les utilitaires en ligne de commande fournis par PaperCut, cette opération est maîtrisable même sans connaissances Java approfondies. N’oubliez pas de tester le résultat avec openssl ou votre navigateur pour valider que tout est bien configuré.