Chapitre 1. Les certificats de clé publique dans la gestion de l'identité
Ce chapitre décrit les certificats de clé publique X.509, qui sont utilisés pour authentifier les utilisateurs, les hôtes et les services dans le cadre de la gestion des identités (IdM). Outre l'authentification, les certificats X.509 permettent également la signature numérique et le cryptage afin de garantir la confidentialité, l'intégrité et la non-répudiation.
Un certificat contient les informations suivantes :
- Le sujet que le certificat authentifie.
- L'émetteur, c'est-à-dire l'autorité de certification qui a signé le certificat.
- Les dates de début et de fin de validité du certificat.
- Les utilisations valides du certificat.
- La clé publique du sujet.
Un message crypté par la clé publique ne peut être décrypté que par la clé privée correspondante. Alors qu'un certificat et la clé publique qu'il contient peuvent être rendus publics, l'utilisateur, l'hôte ou le service doit garder sa clé privée secrète.
1.1. Autorités de certification dans l'IdM
Les autorités de certification fonctionnent selon une hiérarchie de confiance. Dans un environnement IdM doté d'une autorité de certification (AC) interne, tous les hôtes, utilisateurs et services IdM font confiance aux certificats signés par l'AC. Outre cette autorité de certification racine, l'IdM prend en charge des sousautorités de certification auxquelles l'autorité de certification racine a accordé la possibilité de signer des certificats à leur tour. Souvent, les certificats que ces sous-AC peuvent signer sont des certificats d'un type spécifique, par exemple des certificats VPN. Enfin, IdM prend en charge l'utilisation d'AC externes. Le tableau ci-dessous présente les spécificités de l'utilisation des différents types d'AC dans l'IdM.
| Nom de l'AC | Description | Utilisation | Liens utiles |
|---|---|---|---|
|
| Une AC intégrée basée sur le projet Dogtag en amont | Les autorités de certification intégrées peuvent créer, révoquer et émettre des certificats pour les utilisateurs, les hôtes et les services. | |
| Sous-activités de l'IdM |
Une AC intégrée subordonnée à l'AC |
Les sous-CA IdM sont des AC auxquelles l'AC | Restreindre une application à ne faire confiance qu'à un sous-ensemble de certificats |
| AC externes | Une AC externe est une AC autre que l'AC IdM intégrée ou ses sous-AAC. | Les outils IdM permettent d'ajouter ou de supprimer des certificats émis par ces autorités de certification à des utilisateurs, des services ou des hôtes. | Gestion des certificats signés en externe pour les utilisateurs, les hôtes et les services IdM |
Du point de vue du certificat, il n'y a pas de différence entre la signature par une autorité de certification IdM auto-signée et la signature externe.
Le rôle de l'AC comprend les objectifs suivants :
- Il délivre des certificats numériques.
- En signant un certificat, il certifie que le sujet nommé dans le certificat possède une clé publique. Le sujet peut être un utilisateur, un hôte ou un service.
- Il peut révoquer des certificats et fournit un état de révocation via les listes de révocation de certificats (CRL) et le protocole d'état des certificats en ligne (OCSP).
Ressources supplémentaires
