Cet article a pour ambition de vous présenter le cycle de vie d’un certificat de la demande jusqu’à la révocation. Cette démonstration mettra en lumière les mécanismes ainsi que les flux menant à l’obtention d’un certificat pour vos machines.
Commençons cet article par une question simple : existe-t-il encore un intérêt à installer et gérer une autorité de certification (AC) dans son réseau privé ? À première vue, questionner cette nécessité semble être une sage décision. Cependant, nous allons voir ensemble les avantages qu’apporte ce type de composant, aujourd’hui encore plus qu’hier, au sein d’un système d’information (SI). Nous installerons ensuite step-ca, l’autorité de certification open source de Smallstep, et l’utiliserons dans un cas d’usage qui mettra en évidence sa simplicité et son efficacité.
Web, VPN, IMAP, SMTP, accès distant, stockage, messagerie instantanée... Quels que soient le domaine, la technologie ou le protocole, l'authentification renforcée et le chiffrement représentent aujourd'hui le comportement par défaut. Et ce, au point que les protocoles historiques, en clair, sont désormais considérés, à juste titre, comme obsolètes et ne représentent plus qu'une utilisation marginale sur Internet. À la base de ce nouveau paradigme se trouve généralement TLS, le protocole de sécurisation des échanges et l'outil le plus basique vous permettant de gérer votre sécurité : openssl.
L’autorité de certification (AC) Let’s Encrypt a ouvert son service au public le 12 avril 2016. La part du trafic web chiffré ne cessa alors d'augmenter pour représenter actuellement près de 90% du trafic total. Sur le plan technique, Let’s Encrypt a pu réaliser un tel exploit notamment grâce à ACME, son protocole normalisé par l’IETF d’obtention automatisée de certificats. De nombreux clients ACME en ligne de commandes ont été développé et ont répondu à beaucoup de cas d’usage. Plus récemment, une étape supplémentaire a été franchie avec l’intégration de l’obtention de certificats Let’s Encrypt directement au sein de composants d'infrastructures comme HAProxy, Traefik ou les serveurs web Caddy et Apache et son module mod_md. C’est de ce dernier dont nous allons parler ensemble aujourd’hui.
Éditeur de presse spécialisé dans l’open source, la programmation, la cybersécurité, l’électronique et l’embarqué,
les Éditions Diamond sont nées en 1995 avec l’objectif de développer une offre rédactionnelle technique de qualité basée
sur les retours d’expériences de professionnels et de passionnés du milieu au travers de nos publications :
• GNU/Linux Magazine
• MISC
• Linux Pratique
• Hackable
En 2013 nous lançons la plateforme de documentation numérique Connect qui permet aux lecteurs d’explorer plus de
10 ans de ressources techniques issues de ses magazines phares.
Continuellement mise à jour au fil des publications et enrichie avec du contenu exclusif, elle constitue un outil de veille
efficace pour les professionnels qui souhaitent s’informer et se former aux dernières technologies. Connect offre
aujourd’hui une réponse unique aux besoins informationnels :
• des développeurs avec GNU/Linux Magazine
• des administrateurs système et réseau avec Linux Pratique
• des experts en sécurité informatique avec MISC
• des professionnels et passionnés d’électronique numérique et d’embarqué avec Hackable.
