Autorité de certification
La CA est la partie la plus sensible de notre architecture de PKI. Si la clé privée de cette entité est compromise, l’intégralité de l’infrastructure s’effondre car aucune confiance ne pourra être alors accordée aux certificats signés avec cette clé. Il faut donc être particulièrement vigilent dans sa configuration. On commence par donner les droite nécessaire a un utilisateur pour qu’il puisse administrer la CA sans abuser des privilèges root. La clé privée de la CA doit également être protégée par un mot de passe pour limiter son utilisation aux personnes autorisée. Pour finir, il est de bon ton d’isoler la CA du reste du réseau de façon à ce qu’elle n’interagisse avec d’autres machines que pour la signature de certificat afin de limiter les possibilités de compromission.
Créez une Debian.
Passez root.
Créez un group.
Ajoutez l’utilisateur au group.
Faites un apt update.
Pour le choix de la pki, nous avons choisi de ne pas utiliser easypki car ceuli-ci n’est plus maintenu depuis février 2017. De plus, sa documentation est limitée, ce qui rend plus complexe sa compréhension et son installation.
A l’inverse, easy-rsa est activement maintenu. C’est donc pour cette solution que nous opterons.
Installez easy-rsa.
Créez le dossier easy-rsa.
Ajoutez les droits suivants.
Faire un lien symbolique vers le dossier easy-rsa.
Appelez le script easyrsa avec init-pki.
Editez le fichier vars.
Ajoutez les lignes suivantes.
Appelez le script avec build-ca.
La CA a bien été créé.
