Si vous ne savez pas ce que veut dire PKI, ou si vous ne savez pas exactement tout ce qui est en jeu, vous devez lire ceci : http://fr.wikipedia.org/wiki/Public_Key_Infrastructure

Cependant notre projet n'a pas l'ambition de créer une «véritable» PKI avec tout ce qui va autour (RA, séquestration, etc) . Il s'agit juste d'un système permettant d'émettre des certificats et de les révoquer, le tout avec une gestion des autorités de certification à deux niveaux (une racine et des régionales) et un système de révocation.

Projet suivi par ThomasNoël. Merci de le contacter si vous avez quelques connaissances sur le sujet ou du temps pour tester.

Objectif

Il s'agit de mettre en place une PKI simple et souple afin de générer des certificats signés par une autorité de certification "AUF". Nous pourrons produire des certificats pour :

• les utilisateurs, surtout pour l'accès au RPV via OpenVPN (nomades)

• nos serveurs SSL/TLS (web, smtp, imap, jabber, etc.)
• nos serveurs OpenVPN (point d'accès au RPV pour les nomades)

• plus tard, pour le Projet/RPVv2 (liaisons openvpn inter-sites)

Le projet consiste à la mise en place d'un système de certification à deux niveaux :

• une autorité de certification (AC) racine
• des AC régionales, signées par l'AC racine
• éventuellement des AC locale pour les grosses implantations

L'autorité racine ne sera utilisée que pour générer des AC régionales. Les AC régionales seront celles qui signeront tous les certificats à émettre. Toutes les AC géreront leurs révocations (CRL et OCSP). La publication des informations publiques se fera sur un serveur central http://igc.auf.org/.

Choix technique

Nous allons utiliser le système EJBCA : http://www.ejbca.org/

Note : nous étions auparavant parti vers une piste plus rude, voir /Archives/PKIOpenSSL

Avancement

La mise en place est en cours, pour l'instant c'est encore en phase de test, bientôt de validation.

Vous pouvez suivre la mise en place sur ce wiki, sur la page ThomasNoël/NotesEJBCA.