## page was renamed from Projet/PKI/DiffusionDesInformations Les informations publiques de l'Infrastructure de Gestion de Clés (IGC, PKI en anglais) doivent être disponibles pour tous les systèmes qui auront à les utiliser : * les certificats des autorités racines doivent être disponibles afin de pouvoir vérifier la chaîne de signature d'un certificat. On les met à disposition via HTTP et LDAP, mais aussi dans un paquet ca-certificates-auf pour Debian et ses dérivés. * les listes de révocation de certificat (LRC, CRL en anglais) doivent être disponibles en permanence et facilement accessibles, selon divers protocoles utilisés par les systèmes qui consultent des CRL. Trois grands protocoles actuellement : HTTP, OCSP et LDAP. A l'AUF nous les diffusons également via le paquet ca-certificates-auf. * d'autres formats doivent être étudier autour des normes PKCS... si vous avez des idées ou des informations, nous sommes preneurs ;) Note : les certificats "feuille" (pour les serveurs Web, SMTP, IMAP, OpenVPN, pour les clients OpenVPN, etc... seront envoyés à leur destinataire par leur autorité régionale en utilisant le moyen de transmission le plus efficace et le plus sécurisé. Pour l'instant nous n'avons pas de règle à ce niveau, même si une mise à disposition via HTTP ou LDAP est possible (à l'étude). Idées bienvenues. = Principe général = '''Chaque autorité de certification (AC) de l'AUF est un [[Git|dépôt git]].''' A chaque modification, notamment lors de la génération d'une nouvelle revocation (nouvelle CRL), le dépôt est publié sur le serveur central igc.auf.org (''git push''). Toutes les 5 minutes, le serveur igc.auf.org regarde si une nouvelle information est parvenue sur les dépôt des AC : nouveau certificat ou nouvelle CRL. Le cas échéant, la publication des informations via les divers moyens prévus est lancée : * une nouvelle version du paquet ca-certificates-auf est construite et envoyée sur le [[DépôtAPT|dépôt APT de l'AUF]] (où elle y sera intégrée au maximum 5 minutes plus tard) * les informations sont mises à jour sur http://igc.auf.org/ * ''à venir'' : mise à jour des données sur ldap.igc.auf.org (CRT et CRL) et prise en compte des nouvelles CRL pour le répondeur OCSP ocsp.igc.auf.org {{attachment:igc-auf-org.png}} = En détail = Le code est sur http://git.auf.org/?p=pki : * le répertoire [[http://git.auf.org/?p=pki;a=tree;f=igc.auf.org;hb=HEAD|igc.auf.org]] contient surtout `update-auf-ca-path` : c'est ce script qui vérifie les dépôt git des différentes AC et lance les publications en cas de modification ; * le répertoire [[http://git.auf.org/?p=pki;a=tree;f=ca-certificates-auf;hb=HEAD|ca-certificates-auf]] contient le code permettant de générer le paquet du même nom. L'utilisation de ''git'' par les autorités de certification est décrite sur ../CréationDesAutorités