Modifications entre les versions 2 et 3
Version 2 à la date du 2008-10-20 00:10:53
Taille: 2678
Éditeur: ThomasNoël
Commentaire: liens vers les futures docs de mise en place d'ejbca
Version 3 à la date du 2008-10-20 00:22:11
Taille: 2752
Éditeur: ThomasNoël
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 52: Ligne 52:
 1. Installation de base : [[/Installation]]  1. Installation du système EJBCA : [[/InstallationSystème]]
Ligne 54: Ligne 54:
 1. Créations des AC : [[/AutoritésDeCertification]]

Cette page décrit la PKI de l'AUF.

Architecture

Une autorité de certification racine (AC-Racine)
  • c'est l'autorité de certification racine
  • elle est donc auto-signée
  • elle va signer les autorités de certification régionales
Des autorités de certification régionales (AC BA, AC-BAP, AC-BAO, etc.)
  • pour chaque bureau régional, une autorité de certification
  • signée par AC-Racine
  • elle signera les certificats finaux
Des certificats finaux
  • chacun est signé par l'autorité régionale qui l'a émise
  • utilisateurs : pour la messagerie, l'accès au RPV (OpenVPN), l'authentification web, le chiffrement en général, etc.
  • serveurs SSL/TLS : serveurs web, smtp, imap, etc.
  • serveurs OpenVPN : pour les points d'accès RPV
Un système de révocation
  • toutes les AC proposent une liste de révocation (CRL) téléchargeable en http
  • un serveur OCSP est disponible

Obtenir un certificat

Les responsables techniques régionaux sont chargés d'émettre les certificats de leur région. Pour cela, ils ont un accès au système de gestion de l'autorité de certification de leur région. Ils peuvent créer y des entités. Chaque entité suit un profil : Personnel AUF, Serveurs SSL/TLS ou Serveur OpenVPN.

Les personnes qui désirent obtenir un certificat doivent donc en faire la demande auprès du responsable technique régional, en fournissant les données nécessaires (bientôt précisées ici, pour chaque profil).

Une fois l'entité correspondante créée par le responsable régional, le demandeur peut aller retirer le certificat (et la clé privée associée) correspondant dans l'interface publique du système : https://igc.auf.org/

Utilisation du certificat

A décrire en fonction du profil et de l'usage.

  • Serveur SSL/TLS avec apache, postfix, dovecot, exim, ejabberd, ...
  • Serveur OpenVPN : mise en place d'un point d'accès RPV
  • Personnel AUF :
    • utilisation sur un client OpenVPN
    • messagerie : signature, chiffrage (enigmail ?)
    • ajout dans firefox

Décrire aussi l'ajout des AC dans la chaine de certifications de la machine.

Logiciels de base

Nous utilisons le système EJBCA, donc la partie publique a été adaptée à nos besoins. EJBCA est installé sur une plate-forme JBoss, placée derrière un serveur web Apache. Le système est visible sur https://igc.auf.org/

  1. Installation du système EJBCA : /InstallationSystème

  2. Configuration des profils : /Profils

  3. Créations des AC : /AutoritésDeCertification

  4. Gestion des administrateurs : /Administrateurs

PKI (dernière édition le 2015-12-16 09:50:20 par WillyManga)