Si vous ne savez pas ce que veut dire PKI, ou si vous ne savez pas exactement tout ce qui est en jeu, vous devez lire ceci : http://fr.wikipedia.org/wiki/Public_Key_Infrastructure

Notre projet n'a pas l'ambition de créer une «véritable» PKI avec tout ce qui va autour (RA, séquestration, etc) . Il s'agit d'abord d'un système permettant d'émettre des certificats et de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (une racine et des régionales) et un système de révocation.

Projet tenu à bout de bras par ThomasNoël. '''Merci de le contacter si vous avez quelques connaissances sur le sujet et/ou du temps pour tester.'''

= Objectifs =

Il s'agit de mettre en place une PKI simple et souple afin de générer des certificats signés par une autorité de certification "AUF". Nous pourrons produire des certificats pour :
 * les utilisateurs, surtout pour l'accès au RPV via [[OpenVPN]] (nomades)
 * nos serveurs SSL/TLS (web, smtp, imap, jabber, etc.)
 * nos serveurs OpenVPN (point d'accès au RPV pour les nomades)
 * plus tard, pour le [[Projet/RPVv2]] (liaisons openvpn inter-sites)

Le projet disposera d'un système de certification à plusieurs niveaux :
 * une autorité de certification (AC) racine
 * des AC régionales, signées par l'AC racine
 * éventuellement des AC locale pour les grosses implantations

L'autorité racine ne sera utilisée que pour générer des AC régionales. '''Les AC régionales seront celles qui signeront tous les certificats à émettre'''. Toutes les AC géreront leurs révocations (CRL et OCSP). La publication des informations publiques se fera sur un serveur central http://igc.auf.org/.

= Choix technique =

Nous allons utiliser le système EJBCA : http://www.ejbca.org/

Note : nous étions auparavant parti vers une piste plus rude, voir [[/Archives/PKIOpenSSL]]

= Avancement =

La mise en place est en cours, en phase de validation.

Vous pouvez suivre la mise en place sur ce wiki, sur la page [[PKI]].