j'ai compris

Structure du système PKI

publié il y a  2020-8-30 12:41:51 75 0 0 0 0

Structure du système PKI

Comme le montre la figure 1 , un système PKI se compose de l'entité finale, de l'autorité de certification (CA), de l'autorité d'enregistrement (RA) et de la base de données de stockage de la liste de révocation de certificats / certificats (CRL).

Figure 1 Structure du système PKI
fig_dc_fd_pki_000801.png
  • Entité finale

    Une entité finale, ou entité PKI, est l'utilisateur final des produits ou services PKI. Il peut s'agir d'un individu, d'une organisation, d'un appareil (par exemple, un routeur ou un pare-feu) ou un processus s'exécutant sur un ordinateur.

  • Autorité de certification (CA)

    L'autorité de certification est l'entité de confiance qui émet et gère les certificats numériques. L'AC est une organisation tierce faisant autorité, fiable et équitable. En règle générale, une autorité de certification est un serveur, par exemple, un serveur exécutant Windows Server 2008.

    La figure 2 montre une autorité de certification hiérarchique. L'autorité de certification au sommet de la hiérarchie est l'autorité de certification racine et les autres sont des autorités de certification subordonnées.

    Lorsqu'une entité PKI approuve une autorité de certification, la confiance est dérivée le long de la chaîne de certificats. Une chaîne de certificats est un ensemble de certificats allant de l'entité finale au certificat racine. Lorsqu'une entité PKI en communication reçoit un certificat à authentifier, l'entité PKI vérifie chaque émetteur le long de la chaîne de certificats.

    Figure 2 Diagramme hiérarchique CA
    fig_dc_fd_pki_000802.png

    La gestion des certificats est la fonction principale des autorités de certification, notamment l'émission, le renouvellement, la révocation, l'interrogation et l'archivage des certificats ainsi que la distribution de la liste de révocation de certificats (CRL).

    • L'autorité de certification racine est la première autorité de certification (point de confiance) du système PKI. Il délivre des certificats aux autorités de certification, aux ordinateurs, aux utilisateurs et aux services subordonnés. Dans la plupart des applications basées sur des certificats, l'autorité de certification racine peut être tracée via la chaîne de certificats. L'autorité de certification racine détient un certificat auto-signé.

    • Une autorité de certification subordonnée peut uniquement obtenir un certificat de son autorité de certification de niveau supérieur. L'autorité de certification de niveau supérieur peut être l'autorité de certification racine ou une autre autorité de certification subordonnée autorisée par l'autorité de certification racine à émettre des certificats. L'autorité de certification de niveau supérieur est responsable de l'émission et de la gestion des certificats des autorités de certification de niveau inférieur, et les autorités de certification de niveau inférieur délivrent des certificats aux entités finales. Par exemple, CA 2 et CA 3 sont des CA subordonnées, détenant les certificats émis par CA 1, et CA 4, CA 5, ainsi que CA 6 sont également des CA subordonnées, détenant les certificats émis par CA 2.

  • Autorité d'enregistrement (RA)

    Un RA inscrit et approuve les certificats numériques. Il s'agit d'un proxy pour l'autorité de certification et fournit des applications étendues de délivrance et de gestion de certificats. L'AE traite les demandes d'inscription et de révocation de certification des utilisateurs, vérifie les identités des utilisateurs et décide de soumettre des demandes d'émission ou de révocation de certificats à l'autorité de certification.

    La RA peut faire partie du serveur de l'autorité de certification ou être indépendante de l'autorité de certification pour partager la charge de travail de l'autorité de certification et améliorer la sécurité du système de l'autorité de certification.

  • Base de données de certificats / CRL

    Un certificat peut devoir être révoqué pour des raisons telles que le changement de nom d'entité, la fuite de clé privée ou l'interruption de service. La révocation d'un certificat consiste à dissocier la clé publique des informations d'identité de l'entité PKI. Le système PKI utilise une CRL pour révoquer les certificats.

    Après la révocation d'un certificat, l'autorité de certification émet une CRL pour déclarer que le certificat n'est pas valide et répertorie les numéros de série des certificats révoqués. La CRL fournit une méthode pour vérifier la validité du certificat.

    La base de données de certificats / CRL stocke et gère les informations sur les certificats et les CRL et permet la recherche d'informations. La base de données de certificats / CRL peut être créée à l'aide d'un serveur LDAP (Lightweight Directory Access Protocol), d'un serveur FTP (File Transfer Protocol), d'un serveur HTTP (Hypertext Transfer Protocol) ou d'une base de données. LDAP simplifie le protocole d'accès à l'annuaire X.500. Il prend en charge TCP / IP et a été largement utilisé dans la distribution de certificats, la distribution de CRL, les stratégies d'autorité de certification et la distribution d'informations. Si le nombre de certificats est petit, les certificats peuvent être stockés sur un serveur HTTP ou FTP et peuvent être téléchargés.

PKI gère l'ensemble du cycle de vie des certificats locaux, y compris l'application, le problème, le stockage, le téléchargement, l'installation, l'authentification, le renouvellement et la révocation.

Demande de certificat

L'application de certificat est une inscription de certificat. Il s'agit d'un processus dans lequel une entité s'enregistre auprès d'une autorité de certification et obtient un certificat de l'autorité de certification. En règle générale, une entité PKI génère une paire de clés publiques et privées. La clé publique et les informations d'identité de l'entité (incluses dans la demande d'inscription de certificat) sont envoyées à l'autorité de certification pour générer un certificat local. La clé privée est stockée par l'entité PKI pour effectuer la signature numérique et décrypter le texte chiffré envoyé par l'homologue.

Une entité PKI peut utiliser l'une des méthodes suivantes pour demander un certificat local auprès de l'autorité de certification:

  • En ligne

    L'entité PKI envoie des demandes d'inscription de certificat à l'autorité de certification à l'aide du protocole d'inscription de certificat simple (SCEP) ou du protocole de gestion des certificats version 2 (CMPv2) .

  • Hors ligne (PKCS # 10)

    L'entité PKI imprime la demande d'inscription de certificat local au format PKCS # 10 et l'enregistre sous forme de fichier. Ensuite, l'utilisateur transfère le fichier vers le serveur CA en mode hors bande (Web, disque ou courrier électronique).

En outre, une entité PKI peut émettre un certificat auto-signé ou local pour elle-même.

Problème de certificat

Si une RA est disponible, la RA vérifie les informations d'identité de l'entité PKI lorsque l'entité PKI demande un certificat local de CA. Une fois que l'entité PKI a réussi la vérification, la RA envoie la demande à l'autorité de certification. L'autorité de certification génère un certificat local basé sur la clé publique et les informations d'identité de l'entité PKI, puis renvoie les informations de certificat local à la RA. Si aucune RA n'est disponible, l'autorité de certification vérifie l'entité PKI.

Stockage de certificats

Une fois que l'autorité de certification a généré un certificat local, l'autorité de certification ou la RA distribue le certificat à la base de données de certificats / CRL. Les utilisateurs peuvent télécharger ou parcourir le répertoire des certificats dans la base de données.

Téléchargement de certificat

Une entité PKI peut télécharger un certificat local, un certificat CA / RA ou un certificat local d'une autre entité PKI à partir du serveur CA en utilisant SCEP, CMPv2, LDAP, HTTP ou en mode hors bande.

Installation du certificat

Un certificat téléchargé (un certificat local, un certificat CA / RA ou un certificat d'une autre entité PKI) doit être installé sur l'appareil, c'est-à-dire importé dans la mémoire de l'appareil; sinon, le certificat ne prend pas effet.

Si la méthode SCEP est utilisée, l'entité PKI obtient un certificat d'autorité de certification et l'importe dans la mémoire, puis obtient un certificat local et l'importe dans la mémoire.

Authentification par certificat

Avant qu'une entité PKI utilise un certificat obtenu de l'homologue, par exemple, aux fins de la configuration d'un tunnel de sécurité ou d'une connexion, l'entité PKI authentifie le certificat et l'autorité de certification (si le certificat est valide et émis par l'autorité de certification attendue). Si le certificat n'est pas valide, la PKI considère tous les certificats émis par cette autorité de certification comme non valides. Cela se produit rarement car un appareil renouvelle le certificat de l'autorité de certification avant l'expiration dans des situations normales.

L'entité PKI utilise CRL ou OCSP (Online Certificate Status Protocol) pour authentifier les certificats. En mode CRL, l'entité PKI recherche le certificat dans la CRL stockée dans la mémoire locale. Si le certificat est inclus dans la CRL, cela indique que le certificat a été révoqué. Si aucune CRL n'est disponible dans la mémoire locale, une CRL doit être téléchargée et installée. En mode OCSP, l'entité PKI envoie un message de requête sur l'état du certificat au serveur OCSP et le serveur OCSP renvoie l'état du certificat, y compris valide (non révoqué), expiré (révoqué) et inconnu (le serveur OCSP ne peut pas trouver l'état du certificat) .

Renouvellement de certificat

Lorsqu'un certificat expire ou que la clé privée est divulguée, l'entité PKI doit remplacer le certificat. L'entité PKI peut demander un nouveau certificat ou utiliser SCEP ou CMPv2 pour renouveler le certificat existant.

Révocation de certificat

Lorsque l'identité de l'utilisateur, les informations utilisateur ou la clé publique sont modifiées ou que le service utilisateur doit être interrompu, une révocation de certificat est requise. La révocation de certificat dissocie une clé publique des informations d'identité de l'entité PKI. L'AC utilise CRL ou OCSP pour révoquer les certificats pour les entités PKI, tandis qu'une entité PKI révoque son propre certificat en mode hors bande.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.