## page was renamed from Projet/PKI ||<#fcca00> '''Page archivée : il s'agit de l'ancienne façon de gérer la PKI, que nous avons abandonnée<
>(trop complexe, surtout au niveau de la publication des révocations)<
>La PKI déployée sera basée sur EJBCA, voir [[Projet/PKI]]'''|| = Etat du projet, ce qui reste à faire = * Pré-requis à valider : les responsables techniques régionaux (RTR) doivent savoir utiliser un peu OpenSSL et comprendre les principes de la gestion de certificat. * Un fichier de configuration de ''openssl'' (`openssl-auf.cnf`) régit le fonctionnement de ''openssl'' dans le cadre de notre PKI. Il est [[http://git.auf.org/?p=pki;a=blob;f=ca-certificates-auf/openssl-auf.cnf;hb=HEAD|disponible ici]]. Il est validé à 95% par... moi tout seul. Help wanted ! * /CréationDesAutorités : procédures pour construire les clés et certificats des AC racine et régionales * /DiffusionDesInformations : principe de diffusion les certificats et CRL de ces AC * /UtilisationDesAutorités : instructions (commandes ''openssl'') permettant de générer les certificats par les AC, et de les révoquer au besoin. Il faut notamment se mettre d'accord sur le format des DN dans les certificats en fonction de leur destination : serveurs Web/IMAP/SMTP, serveurs et clients OpenVPN RPV2, clients utilisateurs du RPV2, etc * Le code est sur http://git.auf.org/?p=pki. Si vous voulez voir son évolution du code, abonnez-vous au [[http://git.auf.org/?p=pki;a=rss|flux RSS]] correspondant. = Questions en suspension = * le format des DN des certif : va être explicité sur /UtilisationDesAutorités (reprise des idées de RPVv2) * diffuser les certificats de ces AC : étude des formats PKCS utiles... d'autres formats et protocoles ? * NextUpdate pour les CRL, que mettre ? Actuellement 1 mois. Si la durée est trop longue : les clients "automatiques" ne la rechargeront pas assez souvent. Si elle est trop courte et que l'AC ne la renouvelle pas à temps, ça sera révocation pour tout le monde... Ceci dit, c'est une valeur qui se change en cours de route, donc, bon... 2 mois ? 3 mois ? ou bien "cron" intelligent pour l'AC qui renouvelle la CRL 1 ou 2 jours avant son "expiration" (c'est la solution la plus jolie, qui veut la programmer ? piste à suivre, sans doute : lire "man crl" pour chercher comment connaitre la date d'expiration d'une CRL...).