Les informations publiques de l'Infrastructure de Gestion de Clés (IGC, PKI en anglais) doivent être disponibles pour tous les systèmes qui auront à les utiliser :
- les certificats des autorités racines doivent être disponibles afin de pouvoir vérifier la chaîne de signature d'un certificat. On les met à disposition via HTTP et LDAP, mais aussi dans un paquet ca-certificates-auf pour Debian et ses dérivés.
- les listes de révocation de certificat (LRC, CRL en anglais) doivent être disponibles en permanence et facilement accessibles, selon divers protocoles utilisés par les systèmes qui consultent des CRL. Trois grands protocoles actuellement : HTTP, OCSP et LDAP. A l'AUF nous les diffusons également via le paquet ca-certificates-auf.
d'autres formats doivent être étudier autour des normes PKCS... si vous avez des idées ou des informations, nous sommes preneurs
Note : les certificats "feuille" (pour les serveurs Web, SMTP, IMAP, OpenVPN, pour les clients OpenVPN, etc... seront envoyés à leur destinataire par leur autorité régionale en utilisant le moyen de transmission le plus efficace et le plus sécurisé. Pour l'instant nous n'avons pas de règle à ce niveau, même si une mise à disposition via HTTP ou LDAP est possible (à l'étude). Idées bienvenues.
Principe général
Chaque autorité de certification (AC) de l'AUF est un dépôt git. A chaque modification, notamment lors de la génération d'une nouvelle revocation (nouvelle CRL), le dépôt est publié sur le serveur central igc.auf.org (git push).
Toutes les 5 minutes, le serveur igc.auf.org regarde si une nouvelle information est parvenue sur les dépôt des AC : nouveau certificat ou nouvelle CRL. Le cas échéant, la publication des informations via les divers moyens prévus est lancée :
une nouvelle version du paquet ca-certificates-auf est construite et envoyée sur le dépôt APT de l'AUF (où elle y sera intégrée au maximum 5 minutes plus tard)
les informations sont mises à jour sur http://igc.auf.org/
à venir : mise à jour des données sur ldap.igc.auf.org (CRT et CRL) et prise en compte des nouvelles CRL pour le répondeur OCSP ocsp.igc.auf.org
En détail
Le code est sur http://git.auf.org/?p=pki :
le répertoire igc.auf.org contient surtout update-auf-ca-path : c'est ce script qui vérifie les dépôt git des différentes AC et lance les publications en cas de modification ;
le répertoire ca-certificates-auf contient le code permettant de générer le paquet du même nom.
L'utilisation de git par les autorités de certification est décrite sur ../CréationDesAutorités