Vous êtes sur la page 1sur 34

1

Bruno Bonfils <asyd@asyd.net>


Les infrastructures de cls
publiques (PKI, I!, I!P"
#$LL
1% &ctobre '(()
Lyon
Bruno Bonfils
<asyd@asyd.net>

'
Bruno Bonfils <asyd@asyd.net>
Plan
L*utilisation des certificats
Le r+le d*un certificat
Les autorits de confiance
Le principe de confiance
La structure d*un certificat
,ne PKI
,n -nrateur de PKI libre, .#B!/

0
Bruno Bonfils <asyd@asyd.net>
L*utilisation des certificats 11'
,tilisation courante
233Ps, P&P0s, I4/Ps, etc.
.5ail (614I4." (c7iffre5ent et si-nature"
6i-nature d*ob8ets (paquets, librairies, etc.."
$*autres utilisations
3unnel 9P:
:on rpudiation (dsa;eu i5possible"

%
Bruno Bonfils <asyd@asyd.net>
L*utilisation des certificats '1'
$es applications utilisateurs
4o<illa, 37underbird, K5ail, etc.
$e no5breu= ser;ices peu;ent utiliser
des certificats
/pac7e
c7iffre5ent, aut7entification utilisateur
&pen662 (patc7 requis"
aut7entification utilisateur
Postfi=, &penL$/P, etc.

>
Bruno Bonfils <asyd@asyd.net>
Le r+le d*un certificat
!7iffre5ent
cl pri;e
cl publique
!arte d*idendit lectronique
no5 (de la personne ou de la 5ac7ine"
l*5etteur
Lors d*une co55unication base sur
66L13L6, l*idendit du client peut
-ale5ent ?tre assure (aut7entification"

)
Bruno Bonfils <asyd@asyd.net>
Les autorits de confiance
Publient un certificat racine qui peut ?tre
inclus dans des applications
L*inclusion d*une autorit de confiance
i5plique de faire confiance @ tous les
certificats qu*elle 5et
Auelques e=e5ples
37aBte, 9erisi-n, etc..

C
Bruno Bonfils <asyd@asyd.net>
Le principe de confiance 11'
L*inclusion d*un certificat racine n*est pas
une c7ose 5ineure, elle doit faire l*ob8et
d*une attention particuliDre
L*.36I fournit quelques reco55andations
.=istence l-ale (entreprise"
6olidit financiDre
6er;ice 8uridique

E
Bruno Bonfils <asyd@asyd.net>
Le principe de confiance '1'
Les applications se doi;ent de fournir un
docu5ent sur leurs politiques
d*acceptation des certificats racines
Auelques e=e5ples de politiques
i5portantes
$ebian (pacFa-e caGcertificates"
4o<illa et dri;s (na;i-ateur Heb, client
5ail"

I
Bruno Bonfils <asyd@asyd.net>
La structure d*un certificat 11'
Les infor5ations obli-atoires
L*identifiant du destinataire du certificat
L*identifiant de l*5etteur
,ne date de ;alidit (dbut et fin"
,n nu5ro de srie
,n identifiant est co5pos d*attribut
!:, &, &,, !, etc.
4appin- possible a;ec annuaire L$/P

1(
Bruno Bonfils <asyd@asyd.net>
La structure d*un certificat '1'
Le standard J>(I;0 dfinit les e=tensions
sui;antes
!ontrainte !/ (autorise @ si-ner d*autres
certificats"
,ne liste d*utilisation du certificat
$i-ital 6i-nature, ti5e sta5pin-
:on repudiation
!lient, ser;er aut7entication
,KI du rpondeur &!6P, de la !KL
$es no5s alternatifs

11
Bruno Bonfils <asyd@asyd.net>
,ne PKI
/ppellations L PKI, I!P, I!
!*est un ense5ble co5portant de
5ultiples acteurs (entits"
,ne infrastructure tec7nique
$es docu5ents dcri;ant la politique
!P, P! (Politique de certification"
!7e5ine5ent du certificat
5ission
utilisation

1'
Bruno Bonfils <asyd@asyd.net>
/rc7itecture d*une PKI
.ntits
finales
,tilisateurs PKI
Cration d'une nouvelle entit
(exemple : nouveau partenaire)
/d5inistrateurs PKI

10
Bruno Bonfils <asyd@asyd.net>
/rc7itecture d*une PKI
.ntits
finales
,tilisateurs PKI
K/
/utorit
d*enre-istre5ent
mission d'une demande de
certificat
/d5inistrateurs PKI

1%
Bruno Bonfils <asyd@asyd.net>
/rc7itecture d*une PKI
.ntits
finales
,tilisateurs PKI
K/
!/
/utorit
d*enre-istre5ent
/utorit
de certification
Vrification de la demande
et transfert l'AC
/d5inistrateurs PKI

1>
Bruno Bonfils <asyd@asyd.net>
/rc7itecture d*une PKI
/d5inistrateurs PKI
D

t
.ntits
finales
,tilisateurs PKI
K/
!/
/utorit
d*enre-istre5ent
/utorit
de certification
Envoie du certificat l'entit
u!lication du certificat

1)
Bruno Bonfils <asyd@asyd.net>
/rc7itecture d*une PKI
/d5inistrateurs PKI
D

t
.ntits
finales
,tilisateurs PKI
K/
!/
Listes des r;ocations (!KL"
9rification du statut (&!6P"
/utorit
d*enre-istre5ent
/utorit
de certification

1C
Bruno Bonfils <asyd@asyd.net>
Les acteurs d*une PKI
$es entits finales (des utilisateurs, des
ser;ices"
possesseur de un ou plusieurs certificats
$es autorits d*enre-istre5ent
9alident et -nrent les de5andes de
certificats
$es autorits de certification
$finition des politiques (!P 1 P!"
!ration des certificats

1E
Bruno Bonfils <asyd@asyd.net>
L*infrastructure tec7nique
,ne interface utilisateur, ad5inistrateur
-nrale5ent Heb
peut ?tre !LI
Publication (dp+t"
des certificats (L$/P"
des r;ocations, statuts (!KL, &!6P"
$es interfaces d*enr+le5ents
:a;i-ateur Beb
.quipe5ents 9P: (6!.P"

.=e5ple de PKI L .#B!/

nrateur libre de PKI

Indpendant de la platefor5e

Interoprable

6*adapte au= politiques

Peut -rer plusieurs certificats racines



.#B!/, @ propos

/pplication #a;a (1.%, 1.>" .#B

Licence LPL

.dit par la socit Pri5eKey (6uDde"

Kacti;it de d;eloppe5ent

$;eloppe5ent spcifique possible

M%( contributeurs

,tilise par de -rand co5ptes



'1
Bruno Bonfils <asyd@asyd.net>
/rc7itecture systD5e
#Boss
#K.
.#B!/
.=tra libs
Batc7s ,tilisateurs /d5inistrateurs
6$B /nnuaire

''
Bruno Bonfils <asyd@asyd.net>
/rc7itecture rseau
'0
.#B!/
Nonctionnalits
Installation si5ple (1> 5inutes"
&!6P (&nline !ertificate 6tatus
Protocol"
9rification des r;ocations
6!.P (6i5ple !ertificate
.nroll5ent Protocol"
I&6 (!isco"
:6&6 (:et6creen"
&pen6!.P
'%
.#B!/
Nonctionnalits
6upporte de no5breu= 6B$ ;ia
le 5canis5e #$B!
4y6AL
Post-re6AL
4ais aussi &racle, 6ybase, etc.
Per5et la publication
6tandard L$/P
/cti;e $irectory
.=tensible ;ia pro-ra55ation
'>
.#B!/
Nonctionnalits
/pprobation possible
Plusieurs ad5inistrateurs sont
ncessaires pour effectuer une
opration
6upporte des quipe5ent
7ardBare tel que n!ip7er
/cclration 7ardBare
/pprobation 5ultiples
Interface li-ne de co55ande
3raite5ents par lots
&prations d*ad5inistrations
')
La fonction !/
estion des certificats racines
estion des profils de certificats
,tilisation (Fey,sa-e, .=tended Key,sa-e"
!ertificat ser;eur
6i-nature de courrier (64I4."
Profil de publication
3aille de cl
!onnaissances tec7niques requises
'C
'E
La fonction K/
K+le
rer les de5andes de certificats
3ransfrer les de5andes de certificats
!onnaissances tec7niques non requises
9alider la de5ande de certificat
'I
La fonction K/
Profil K/
!7oi= d*un profil de certificat
!7a5ps du su8et ($:"
c7oi= des attributs disponibles (obli-atoire ou
facultatif"
prslection de ;aleur

!ontraintes L c7a5p fi=e, liste de c7oi=

$o5aine de l*adresse 5ail


!7oi= du for5at (e= L P.4, PK!61'"
0(
01
0'

00
Bruno Bonfils <asyd@asyd.net>
$5onstration .#B!/
Auestions 1 rponses

Ke5ercie5ents
Lina-ora et L*quipe de .#B!/
(spciale5ent 3o5as et P7ilip"
OannicF Auenec*7du
.n sa;oir plus
6ite K6/
6ite Lina-ora sur les PKI
KN!, code source
HiFipedia