|
Taille: 3130
Commentaire: ça avance
|
Taille: 3182
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Note : le titre «PKI» un peu pompeux, notre projet n'a pas l'ambition de créer une véritable PKI avec tout ce qui va autour. Il s'agira juste d'un système permettant d'émettre des certificats et (phase suivante) de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (régionalisation). Rien de plus pour l'instant<<FootNote(Ceci étant, comme les certificats ne peuvent pas être modifiés, nous devons dès maintenant leur donner les extensions qui permettront une évolution vers une "vraie" PKI, notamment pour une réelle gestion des révocations. C'est tout l'objet de la recherche du ''bon'' fichier `openssl.cnf`)>>. | Si vous ne savez pas ce que veut dire PKI, ou si vous ne savez pas exactement tout ce qui est en jeu, vous devez lire ceci : http://fr.wikipedia.org/wiki/Public_Key_Infrastructure Cependant notre projet n'a pas l'ambition de créer une véritable PKI avec tout ce qui va autour (RA, séquestration, etc) . Il s'agit juste d'un système permettant d'émettre des certificats et de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (une racine et des régionales) et une publication des listes de révocation la plus efficace possible (c'est le point faible de la plupart des PKI). |
| Ligne 8: | Ligne 10: |
| * nos serveurs web, smtp, imap, jabber, openvpn, etc. * les utilisateurs, surtout pour l'accès au RPV via [[OpenVPN]] (aka ''RPV1.5'') * pour le RPV2 (liaisons openvpn inter-sites) |
* nos serveurs web, smtp, imap, jabber, etc. * les utilisateurs, surtout pour l'accès au RPV via [[OpenVPN]] (nomades) * pour le [[Projet/RPVv2]] (liaisons openvpn inter-sites) |
| Ligne 16: | Ligne 18: |
| L'autorité racine ne sera utilisée que pour générer des AC régionales. Les AC régionales seront celles qui signeront tous les certificats à émettre. Toutes les AC géreront leurs révocations (CRL voire OCSP). = Ce qu'il faut faire = Nous considérons que les responsables techniques régionaux (RTR) doivent savoir utiliser un peu OpenSSL et comprendre les principes de la gestion de certificat. Si ce n'est pas le cas, lire [[http://fr.wikipedia.org/wiki/Public_Key_Infrastructure|un peu de doc]] devrait suffire. A partir de là, nous allons : * construire un fichier `openssl.cnf` standard avec les paramètres régissants les différents types de certificats que nous voulons gérer : '''ok''', c'est fait et validé à 95% (par moi tout seul). Voir sur http://git.auf.org/?p=pki * /CréationDesAutorités : construire les clés et certificats des AC racine et régionales * /DiffusionDesInformations : diffuser les certificats et CRL de ces AC * /UtilisationDesAutorités : établir les instructions (commandes ''openssl'') permettant de générer les certificats par les AC, et de les révoquer. Il faut notamment se mettre d'accord sur le format des DN dans les certificats en fonction de leur destination : erveurs Web/imap/smtp, serveurs et clients OpenVPN RPV2, clients utilisateurs du RPV2, etc |
L'autorité racine ne sera utilisée que pour générer des AC régionales. Les AC régionales seront celles qui signeront tous les certificats à émettre. Toutes les AC géreront leurs révocations (CRL). La publication des informations (surtout des CRL) se fera sur un serveur central igc.auf.org. |
| Ligne 30: | Ligne 22: |
| * Si vous voulez voir l'évolution du code, abonnez-vous au flux RSS du git : http://git.auf.org/?p=pki;a=rss | * Pré-requis à valider : les responsables techniques régionaux (RTR) doivent savoir utiliser un peu OpenSSL et comprendre les principes de la gestion de certificat. * Un fichier de configuration de ''openssl'' (`openssl-auf.cnf`) régit le fonctionnement de ''openssl'' dans le cadre de notre PKI. Il est [[http://git.auf.org/?p=pki;a=blob;f=ca-certificates-auf/openssl-auf.cnf;hb=HEAD|disponible ici]]. Il est validé à 95% par... moi tout seul. Help wanted ! * /CréationDesAutorités : procédures pour construire les clés et certificats des AC racine et régionales * /DiffusionDesInformations : principe de diffusion les certificats et CRL de ces AC * /UtilisationDesAutorités : instructions (commandes ''openssl'') permettant de générer les certificats par les AC, et de les révoquer au besoin. Il faut notamment se mettre d'accord sur le format des DN dans les certificats en fonction de leur destination : serveurs Web/IMAP/SMTP, serveurs et clients OpenVPN RPV2, clients utilisateurs du RPV2, etc * Le code est sur http://git.auf.org/?p=pki. Si vous voulez voir son évolution du code, abonnez-vous au [[http://git.auf.org/?p=pki;a=rss|flux RSS]] correspondant. = Questions en suspension = * le format des DN des certif : va être explicité sur /UtilisationDesAutorités (reprise des idées de RPVv2) |
| Ligne 32: | Ligne 38: |
| * ''à écrire'' : /UtilisationDesAutorités * /NotesDeThomas : mes recherches et tests en cours... |
Si vous ne savez pas ce que veut dire PKI, ou si vous ne savez pas exactement tout ce qui est en jeu, vous devez lire ceci : http://fr.wikipedia.org/wiki/Public_Key_Infrastructure
Cependant notre projet n'a pas l'ambition de créer une véritable PKI avec tout ce qui va autour (RA, séquestration, etc) . Il s'agit juste d'un système permettant d'émettre des certificats et de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (une racine et des régionales) et une publication des listes de révocation la plus efficace possible (c'est le point faible de la plupart des PKI).
Projet suivi par ThomasNoël. Merci de le contacter si vous avez quelques connaissances sur le sujet ou du temps pour tester des trucs.
Objectif
Il s'agit de mettre en place une PKI simple et souple afin de générer des certificats signés par une autorité de certification "AUF". Nous pourrons produire des certificats pour :
- nos serveurs web, smtp, imap, jabber, etc.
les utilisateurs, surtout pour l'accès au RPV via OpenVPN (nomades)
pour le Projet/RPVv2 (liaisons openvpn inter-sites)
Le projet consiste à la mise en place d'un système de certification à deux niveaux :
- une autorité de certification (AC) racine
- des AC régionales, signées par l'AC racine
L'autorité racine ne sera utilisée que pour générer des AC régionales. Les AC régionales seront celles qui signeront tous les certificats à émettre. Toutes les AC géreront leurs révocations (CRL). La publication des informations (surtout des CRL) se fera sur un serveur central igc.auf.org.
Etat du projet, ce qui reste à faire
- Pré-requis à valider : les responsables techniques régionaux (RTR) doivent savoir utiliser un peu OpenSSL et comprendre les principes de la gestion de certificat.
Un fichier de configuration de openssl (openssl-auf.cnf) régit le fonctionnement de openssl dans le cadre de notre PKI. Il est disponible ici. Il est validé à 95% par... moi tout seul. Help wanted !
/CréationDesAutorités : procédures pour construire les clés et certificats des AC racine et régionales
/DiffusionDesInformations : principe de diffusion les certificats et CRL de ces AC
/UtilisationDesAutorités : instructions (commandes openssl) permettant de générer les certificats par les AC, et de les révoquer au besoin. Il faut notamment se mettre d'accord sur le format des DN dans les certificats en fonction de leur destination : serveurs Web/IMAP/SMTP, serveurs et clients OpenVPN RPV2, clients utilisateurs du RPV2, etc
Le code est sur http://git.auf.org/?p=pki. Si vous voulez voir son évolution du code, abonnez-vous au flux RSS correspondant.
Questions en suspension
le format des DN des certif : va être explicité sur /UtilisationDesAutorités (reprise des idées de RPVv2)
- diffuser les certificats de ces AC : étude des formats PKCS utiles... d'autres formats et protocoles ?
Note de bas de page