Red Hat SummitChapitre 3. Infrastructure SSL
Pour les clients de Red Hat Network, le sujet de la sécurité est de la plus grande importance. L'une des forces de RHN est sa capacité de traiter chaque requête sur SSL (Secure Sockets Layer, couche de sockets sécurisés). Pour garder ce niveau de sécurité, les clients qui installent RHN dans leurs infrastructures doivent générer des clés et des certificats SSL personnalisés.
La création et le déploiement manuels des clés et des certificats SSL peuvent demander une implication importante. RHN Proxy Server et RHN Satellite Server vous permettent de construire vos propres clés et certificats SSL selon votre propre CA (Certificate Authority) privé durant l'installation. De plus, un utilitaire en ligne commande, le RHN SSL Maintenance Tool (outil de maintenance SSL de RHN), existe dans ce but. Dans tous les cas, ces clés et certificats doivent ensuite être déployés sur tous les systèmes au sein de l'infrastructure gérée. Dans de nombreux cas, le déploiement de ces clés et ces certificats SSL est automatisé pour vous. Ce chapitre décrit des méthodes efficaces pour mener toutes ces tâches à bien.
Veuillez noter que ce chapitre n'explique pas SSL en profondeur. L'outil RHN SSL Maintenance Tool a été conçu pour cacher la plus grande partie de la complexité impliquée dans la configuration et la maintenance de cette infrastructure de clé publique (PKI, « Public-Key Infrastructure »). Pour davantage d'informations, consultez l'une des nombreuses références disponibles dans la librairie la plus proche.
3.1. Une brève introduction à SSL
Copier lienLien copié sur presse-papiers!
SSL, de l'anglais Secure Sockets Layer ou couche de sockets sécurisés, est un protocole qui permet aux applications client-serveur de transmettre des informations de manière sécurisée. SSL utilise un système de paires de clés publiques et privées pour crypter les communications passées entre les clients et les serveurs. Les certificats publics peuvent être accessibles, alors que les clés privées doivent être sécurisées. La relation mathématique (une signature numérique) entre la clé privée et son certificat public de paire fait en sorte que ce système fonctionne. Grâce à cette relation, une connexion de confiance est établie.
Note
Il sera discuté des clés privées et certificats publics SSL tout au long de ce document. Ces clés et certificats peuvent être référencés comme étant des clés, l'une publique et l'autre privée. Cependant, lors de discussion concernant SSL, la convention est de faire référence à la moitié publique de la paire de clés SSL (ou du jeu de clés) comme étant un certificat public SSL.
L'infrastructure SSL d'une organisation est en général composée des clés et des certificats SSL suivants :
- La clé privée et le certificat public SSL CA (Certificate Authority) — généralement seulement une paire de valeurs générée par organisation. Le certificat public est signé numériquement par sa clé privée. Le certificat public est distribué à chaque système.
- Clé privée et certificat public SSL du serveur Web — un ensemble par serveur d'applications. Le certificat public est signé numériquement par sa clé privée et la clé privée SSL CA. Nous faisons souvent référence à l'ensemble de clés d'un serveur Web. En effet, une requête de certificat SSL intermédiaire est générée. Les détails de l'utilisation de cette requête ne sont pas importants dans le cas présent. Les trois sont déployés sur un serveur RHN.
Voici un scénario afin de mieux comprendre le concept : une organisation avec un RHN Satellite Server et cinq RHN Proxy Servers devra générer une paire de clés SSL CA et six ensembles de clés SSL du serveur Web. Le certificat SSL CA public est distribué à tous les systèmes et utilisé par tous les clients pour établir une connexion avec leurs serveurs en amont respectifs. Chaque serveur possède son propre ensemble de clés SSL qui est lié spécifiquement au nom d'hôte de ce serveur et généré à l'aide d'une combinaison de sa propre clé SSL privée et de la clé SSL CA privée. Cela établit une association vérifiable numériquement entre le certificat SSL public du serveur Web et la paire de clé SSL CA et la clé privée du serveur. L'ensemble de clés du serveur Web ne peut pas être partagé avec d'autres serveurs Web.
Important
La partie la plus critique de ce système est la paire de clés SSL CA. À partir de cette clé privée et de ce certificat public, un administrateur peut régénérer tout ensemble de clés SSL du serveur Web. Cette paire de clés SSL CA doit être sécurisée. Il est hautement recommandé que, une fois que la totalité de l'infrastructure SSL des serveurs est configurée et en cours d'exécution, vous archiviez le répertoire de construction SSL généré par cet outil et/ou les installateurs sur un média séparé, et écriviez le mot de passe CA, puis mettez en sécurité le média et le mot de passe.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}