Composants techniques

qui reprend l’ensemble des éléments d’une PKI. Les rôles de ces composants sont détaillés dans la figure 1. Voir Figure 1.

Certificat public
Le certificat public est l’équivalent d’une carte d’identité pour un utilisateur. Concrètement, il s’agit d’un ensemble d’informations comprenant entre autre un sujet (souvent l’email de l’utilisateur), une clé publique de l’utilisateur et la signature de l’autorité de certification attestant de l’authenticité du certificat. Voir Figure 2.

On notera que le certificat est une information tout à fait publique.

Le sujet du certificat possède également une clé privée qu’il est le seul à connaître. Même s’il existe un lien entre la clé privée et le certificat, la clé privée ne fait pas vraiment partie du certificat.

L’autorité de certification et de distribution
Par souci de simplification, nous pouvons considérer qu’il s’agit du même service. Cette autorité (Certificate Authority ou CA) est la pierre angulaire de la PKI.
Tous les utilisateurs et les machines voulant utiliser les services d’encryption ou de signature devront connaître ce service et lui faire confiance. Cette relation de confiance est en général automatiquement mise en place lors de l’installation d’une autorité. Dans un environnement Microsoft Active Directory, il est également possible de la faire par GPO (Group Policy Objets).
Le CA est au coeur des mécanismes d’enrôlement (inscription), de renouvellement et de révocation des certificats.
Prenons l’exemple de l’enrôlement. L’utilisateur crée sur son poste un certificat et la clé privée liée. Son certificat n’est pour l’instant pas valide puisqu’il manque la signature de l’émetteur. Le certificat (sans la clé privée !) est envoyé au CA qui le valide et ajoute une signature (cachet certifiant l’authenticité du certificat). Le certificat est ensuite renvoyé à l’utilisateur.
Il existe plusieurs types d’autorités de certification différents (racine/enfant et entreprise/autonome). L’autorité de certification entreprise se distingue de l’autorité de certification autonome (standalone) par son intégration avec l’annuaire Microsoft Active Directory qu’elle utilise comme point de distribution de certificat. L’autorité entreprise va s’enregistrer automatiquement en tant qu’autorité racine de confiance pour tous les utilisateurs et pour toutes les machines.
Une infrastructure PKI repose sur un modèle hiérarchique. Une hiérarchie contient généralement plusieurs autorités de certification avec des relations parents-enfants clairement définies et des rôles différents.