|
Taille: 2752
Commentaire:
|
Taille: 3019
Commentaire: gestion des admins... et puis voilà quoi
|
| Texte supprimé. | Texte ajouté. |
| Ligne 55: | Ligne 55: |
| 1. Gestion des administrateurs : [[/Administrateurs]] | Au niveau de la gestion administrateurs : 1. quelques ''super-administrateurs'' peuvent intervenir à tout niveau 1. chaque responsable technique régional dispose d'un accès ''administrateur RA'' à l'AC qui le concerne, ce qui lui permet d'émettre des certificats personnel AUF et serveur pour toute sa région. |
Cette page décrit la PKI de l'AUF.
EN COURS DE MISE EN PLACE, cf Projet/PKI
Architecture
- Une autorité de certification racine (AC-Racine)
- c'est l'autorité de certification racine
- elle est donc auto-signée
- elle va signer les autorités de certification régionales
- Des autorités de certification régionales (AC BA, AC-BAP, AC-BAO, etc.)
- pour chaque bureau régional, une autorité de certification
- signée par AC-Racine
- elle signera les certificats finaux
- Des certificats finaux
- chacun est signé par l'autorité régionale qui l'a émise
- utilisateurs : pour la messagerie, l'accès au RPV (OpenVPN), l'authentification web, le chiffrement en général, etc.
- serveurs SSL/TLS : serveurs web, smtp, imap, etc.
- serveurs OpenVPN : pour les points d'accès RPV
- Un système de révocation
- toutes les AC proposent une liste de révocation (CRL) téléchargeable en http
- un serveur OCSP est disponible
Obtenir un certificat
Les responsables techniques régionaux sont chargés d'émettre les certificats de leur région. Pour cela, ils ont un accès au système de gestion de l'autorité de certification de leur région. Ils peuvent créer y des entités. Chaque entité suit un profil : Personnel AUF, Serveurs SSL/TLS ou Serveur OpenVPN.
Les personnes qui désirent obtenir un certificat doivent donc en faire la demande auprès du responsable technique régional, en fournissant les données nécessaires (bientôt précisées ici, pour chaque profil).
Une fois l'entité correspondante créée par le responsable régional, le demandeur peut aller retirer le certificat (et la clé privée associée) correspondant dans l'interface publique du système : https://igc.auf.org/
Utilisation du certificat
A décrire en fonction du profil et de l'usage.
- Serveur SSL/TLS avec apache, postfix, dovecot, exim, ejabberd, ...
- Serveur OpenVPN : mise en place d'un point d'accès RPV
- Personnel AUF :
- utilisation sur un client OpenVPN
- messagerie : signature, chiffrage (enigmail ?)
- ajout dans firefox
Décrire aussi l'ajout des AC dans la chaine de certifications de la machine.
Logiciels de base
Nous utilisons le système EJBCA, donc la partie publique a été adaptée à nos besoins. EJBCA est installé sur une plate-forme JBoss, placée derrière un serveur web Apache. Le système est visible sur https://igc.auf.org/
Installation du système EJBCA : /InstallationSystème
Configuration des profils : /Profils
Créations des AC : /AutoritésDeCertification
Au niveau de la gestion administrateurs :
quelques super-administrateurs peuvent intervenir à tout niveau
chaque responsable technique régional dispose d'un accès administrateur RA à l'AC qui le concerne, ce qui lui permet d'émettre des certificats personnel AUF et serveur pour toute sa région.