Note : le titre «PKI» un peu pompeux, notre projet n'a pas l'ambition de créer une véritable PKI avec tout ce qui va autour. Il s'agira juste d'un système permettant d'émettre des certificats et (phase suivante) de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (régionalisation). Rien de plus pour l'instant.
Objectif
Il s'agit de mettre en place une PKI simple et souple afin de générer des certificats signés par une autorité de certification "AUF". Nous pourrons produire des certificats pour :
- nos serveurs web, smtp, imap, jabber, openvpn, etc.
les utilisateurs, surtout pour l'accès au RPV via openvpn (aka RPV1.5)
- plus tard pour le RPV2 (liaisons openvpn inter-sites)
Le projet consiste à la mise en place d'un système de certification à deux niveaux :
- une autorité de certification (AC) racine
- des AC régionales, signées par l'AC racine
L'autorité racine ne sera utilisée que pour générer des AC régionales. Les AC régionales seront celles qui signeront tous les certificats à émettre. Toutes les AC géreront leurs révocations (CRL).
Ce qu'il faut faire
Nous considérons que les responsables techniques régionaux (RTR) doivent savoir utiliser un peu OpenSSL et comprendre les principes de la gestion de certificat. Si ce n'est pas le cas, lire un peu de doc devrait suffire.
A partir de là, nous allons :
construire un fichier openssl.cnf standard avec les paramètres régissants les différents types de certificats que nous voulons gérer
établir les instructions permettant de générer les certificats (commandes openssl)
- établir le processus de mise en place et de diffusion des CRL
Etat du projet
/NotesDeThomas avec notamment le fichier openssl.cnf proposé (à valider par ceux qui connaissent un peu openssl... y'en a, dans la salle ?
)