Un certificat numérique est un document électronique qui fait le lien entre l'identité d'une entité (exemple : nom / prénom / adresse mail d'une personne physique, ou nom / adresse / n° SIRET d'une personne morale, ou encore URL d'un site web...) et une clé publique. Ces informations sont signées par une autorité de certification. Cette signature prouve ainsi l'authenticité du certificat.
Le Crédit Agricole - Group Infrastructure Platform (CAGIP), en qualité d'Autorité de Certification, délivre des certificats numériques afin de sécuriser les échanges agrâce aux fonctions d'authentification, de signature ou encore de chiffrement.
- Le service d'authentification permet de s'assurer de l'identité d'une personne accédant à une ressource protégée.
- Le service de signature permet de garantir qu'une information a été créée par une personne et n'a pas été modifiée depuis.
- Le service de chiffrement permet de garantir qu'un échange d'information entre deux correspondants demeure confidentiel.
Les certificats numériques sont des fichiers offrant à leur porteur des fonctions cryptographiques de haut niveau de confiance. Les éléments cryptographiques peuvent se présenter sous forme logicielle (protégé par un mot de passe) ou sous forme matérielle (carte à puce, clé à puce, pour un très haut niveau de sécurité). Le processus de fourniture de certificats est sécurisé et permet d'assurer la remise sécurisée des certificats à leurs porteurs.
Le schéma suivant représente la hiérarchie complète des AC et des certificats émis dans le cadre de ce PoC. Nous utilisons l’OID public (1.2.250.1.104) du CEDICAM en attendant un atelier de cadrage avec le CAGIP
Exemples de requête de test OCSP
- openssl ocsp -url http://cagip-ocsp.certeurope.cloud -issuer machine.pem -CAfile root.pem -cert test-cagip-machine-*.cer
- openssl ocsp -url http://cagip-ocsp.certeurope.cloud -issuer user.pem -CAfile root.pem -cert test-cagip-user-*.cer
- openssl ocsp -url http://cagip-ocsp.certeurope.cloud -issuer root.pem -CAfile root.pem -cert user.pem
Le schéma suivant présente les dépendances entre le Card Management System (CMS) NexusPrime et la PKI CAGIP hébergée par CertEurope
Le tableau ci-après rassemble les informations technique sur l'environnement de démo pour le CAGIP
| Serveur |
Application |
Nom de domaine |
Port |
Description |
| IP. 51.77.212.109 |
Certificate Manager 8.5 |
cagip-cm.certeurope.cloud |
5009 |
Serveur de la PKI Nexus |
| MariaDB 10.3.32 |
cagip-db.certeurope.cloud |
3306 |
Base de données de la PKI Nexus |
Tomcat 9.0.65
CRL and Issuer CA |
cagip-web.certeurope.cloud |
443 |
Serveur web pour la publication des informations sur la chaine de confiance |
| cagip-crl.certeurope.cloud |
80 |
Serveur web pour la publication des listes de révocation |
| IP. 51.77.195.19 |
Nexus OCSP 6.2.3 |
cagip-ocsp.certeurope.cloud |
80 |
Répondeurs OCSP pour chaque AC |
Tomcat 9.0.65
Protocol Gateway 8.5 |
cagip-pgwy.certeurope.cloud |
443 |
Service web de la PKI Nexus : Recherche, Génération et Révocation |
