La Public Key Infrastructure (PKI) se définit comme l’ensemble des composants techniques et des procédures permettant l’émission, la distribution et la gestion des certificats de clés publiques qui vont nous permettre de mettre en place et d’utiliser les services de sécurité dont nous venons de discuter. Voici la ‘Big Picture’
Composants techniques
qui reprend l’ensemble des éléments d’une PKI. Les rôles de ces composants sont détaillés dans la figure 1. Voir Figure 1.
Certificat public
Le certificat public est l’équivalent d’une carte d’identité pour un utilisateur. Concrètement, il s’agit d’un ensemble d’informations comprenant entre autre un sujet (souvent l’email de l’utilisateur), une clé publique de l’utilisateur et la signature de l’autorité de certification attestant de l’authenticité du certificat. Voir Figure 2.
On notera que le certificat est une information tout à fait publique.
Le sujet du certificat possède également une clé privée qu’il est le seul à connaître. Même s’il existe un lien entre la clé privée et le certificat, la clé privée ne fait pas vraiment partie du certificat.
L’autorité de certification et de distribution
Par souci de simplification, nous pouvons considérer qu’il s’agit du même service. Cette autorité (Certificate Authority ou CA) est la pierre angulaire de la PKI.
Tous les utilisateurs et les machines voulant utiliser les services d’encryption ou de signature devront connaître ce service et lui faire confiance. Cette relation de confiance est en général automatiquement mise en place lors de l’installation d’une autorité. Dans un environnement Microsoft Active Directory, il est également possible de la faire par GPO (Group Policy Objets).
Le CA est au coeur des mécanismes d’enrôlement (inscription), de renouvellement et de révocation des certificats.
Prenons l’exemple de l’enrôlement. L’utilisateur crée sur son poste un certificat et la clé privée liée. Son certificat n’est pour l’instant pas valide puisqu’il manque la signature de l’émetteur. Le certificat (sans la clé privée !) est envoyé au CA qui le valide et ajoute une signature (cachet certifiant l’authenticité du certificat). Le certificat est ensuite renvoyé à l’utilisateur.
Il existe plusieurs types d’autorités de certification différents (racine/enfant et entreprise/autonome). L’autorité de certification entreprise se distingue de l’autorité de certification autonome (standalone) par son intégration avec l’annuaire Microsoft Active Directory qu’elle utilise comme point de distribution de certificat. L’autorité entreprise va s’enregistrer automatiquement en tant qu’autorité racine de confiance pour tous les utilisateurs et pour toutes les machines.
Une infrastructure PKI repose sur un modèle hiérarchique. Une hiérarchie contient généralement plusieurs autorités de certification avec des relations parents-enfants clairement définies et des rôles différents.
Téléchargez cette ressource
EDI : Pratiques de Performance Opérationnelle
Comment mieux satisfaire les directions métiers, rationaliser les échanges, améliorer la qualité des données et gérer l’obsolescence ? Découvrez dans ce livre blanc, les principaux enjeux autour de l’échange de données informatisé, les technologies complémentaires à l’EDI pour gagner en efficacité et les innovations d’offres de services fournis par Generix Group pour digitaliser vos processus.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
