locked
Autorité secondaire RRS feed

  • Question

  • Bonjour,

    Est t'il possible de créer un autorité de certification secondaire en important un certificat provenant d'une autorité mondiale (GlobalSign, ...) afin de delivrer autant de certificat que possible ?

    Donc, voici comment je l'imagine:

    - GLOBALSIGN

    ---mondomaine.local

    ------monserveur.mondomaine.local

    Merci d'avance !

    (exemple générer un certificat pour signer les applications Remote App qui vérifient les CRL de façon "online"....)

    mercredi 6 juillet 2011 17:49

Réponses

  • Bonjour,

    Si vous souhaitez mettre en oeuvre ce type de scénario sachez qu'il est assez contraignant :

    • Il faut que l'autorité publique (GLOBALSIGN par exemple) vous émette un certificat d'autorité secondaire qui peut être plus ou moins onéreux
    • Que cette autorité publique estime que vous êtes assez digne de confiance dans votre politique de sécurité quant à la gestion de vos certificat, la non répudiation de ces derniers, la compromission de cette dernière doit être très faible, vous devez avoir un process lourd de la gestion de cette dernière, mettre en œuvre une politique, ...

    Le moyen le plus simple pour vous :

    • Mettez en œuvre un architecture 2 tiers : une autorité racine hors ligne puis une secondaire en ligne ou dite de production
    • Ensuite importez le certificat de l'autorité racine dans le magasin autorité de confiance de chaque poste afin d'éviter les différents warning de "confiance"

    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/
    mercredi 6 juillet 2011 22:03