Forum général.général PKI sous Linux

Posté par . Licence CC by-sa
Tags : aucun
1
15
fév.
2018

Bonjour à tous,

Je suis débutant sous Linux et pour mes études, je dois créer une "petite" PKI contenant une AC racine et une AC intermédiaire.
J'ai installé une Debian 9.3 dans virtualbox et j'ai trouvé de nombreux tutos pour créer une PKI sous Linux. Seulement dans tous ces tutos, l'AC racine et l'AC intermédiaire se trouvent sur le même serveur.
Pour les besoins de mon exposé, je souhaiterais que l'AC racine et que l'AC intermédiaire se trouvent sur deux serveurs (VM) différents (comme dans la vraie vie!). Deux serveurs DEBIAN évidemment.
Sur le web, il existe de nombreux tutos pour créer cette PKI avec deux Win 2008 server ou deux Win 2012 server mais je n'en trouve pas avec deux serveurs Linux.

N'étant pas familier des serveurs Linux je ne sais comment faire le lien entre ces serveurs?
Faut-il les mettre dans un même domaine? dans un même workgroup? Et comment au-delà de ça faire lien entre l'AC racine et son AC intermédiaire?

Merci pour votre aide.

  • # Bonjour

    Posté par . Évalué à 4. Dernière modification le 16/02/18 à 01:19.

    Et comment au-delà de ça faire lien entre l'AC racine et son AC intermédiaire?

    J’écris peut-être une connerie, je ne suis pas expert, mais tout simplement parce que l’une signe le(s) certificats de l’autre (qui peut à son tours signer d’autres certificats) ?

    Faut-il les mettre dans un même domaine? dans un même workgroup?

    Les workgroups tu peux oublier, ça ne concerne que le réseau Windows (partage d’imprimantes, partages réseaux, etc…) et une PKI.

    Attention aussi au terme « domaine », il peut désigner ça ou ça, dans le cas d’une PKI c’est le deuxième qui est concerné. Je pense que les deux AC peuvent être dans des domaines différents, dans la réalité elles le sont souvent…

    Voilà… bon courage.

    • [^] # Re: Bonjour

      Posté par . Évalué à 3.

      et une PKI.

      et pas une PKI bien sûr…

  • # cfssl

    Posté par . Évalué à 4.

    OpenVPN utilise easy_rsa pour gérer sa PKI (clés serveurs, clés clients, CA). C’est assez pénible à l’utilisation par contre.

    J’ai entendu parler de cfssl (https://github.com/cloudflare/cfssl), mais j’ai jamais testé.

  • # Openssl

    Posté par (page perso) . Évalué à 3.

    Toute la partie openssl est très bien expliquée ici : https://jamielinux.com/docs/openssl-certificate-authority/index.html
    Sur ce site, l'exemple est donné en bossant dans des dossiers différents mais rien ne t'empêche de bosser sur un autre serveur une fois l'intermédiaire générée.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.