Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Partie 3 · Architecture PKI 12 min de lecture

Comment PKI Fonctionne

L'infrastructure à clé publique est plus que de simples certificats. C’est un écosystème complet de matériel, de logiciels, de politiques et de procédures qui travaillent ensemble pour créer, distribuer et vérifier des identités numériques à grande échelle.

Faits rapides

Type
Éducatif
Niveau
Intermédiaire
Sujets
6 sections
Chapitre
10 sur 25
Suivant
Chaînes de certificats

Introduction

Lorsque les gens entendent "PKI," ils pensent souvent uniquement aux certificats. Mais un certificat numérique n’est que le résultat le plus visible d’un système bien plus vaste. L’infrastructure à clé publique (PKI) constitue l’ensemble complet des rôles, politiques, matériels, logiciels et procédures qui permettent de créer, gérer, distribuer, utiliser, stocker et révoquer les certificats numériques.

Pensez-y de cette façon : si un certificat est un permis de conduire, alors PKI est l’ensemble du système qui le sous-tend : l’agence gouvernementale qui délivre les permis, la base de données qui stocke les enregistrements, les règles concernant qui est éligible, le processus de révocation d’un permis après une infraction, et l’équipement utilisé pour vérifier le permis lors d’un contrôle routier. Aucun élément ne fonctionne isolément.

Comprendre le fonctionnement de la PKI est essentiel pour toute personne responsable de la sécurisation des communications, de la gestion des identités machines ou de la conception de la confiance au sein d’une organisation. Ce chapitre parcourt chaque composant majeur, des autorités de certification et autorités d’enregistrement aux hiérarchies de confiance, aux protocoles d’inscription, ainsi qu’aux pratiques opérationnelles qui garantissent la fiabilité du système dans son ensemble.

Les composants de PKI

Un environnement PKI fonctionnel repose sur plusieurs composants interconnectés. Chaque composant joue un rôle distinct dans le cycle de vie de la confiance.

Autorité de certification (CA)

Le Autorité de certification est l'entité de confiance qui délivre et signe les certificats. Elle garantit le lien entre une clé publique et une identité. Les CA peuvent être publics (de confiance par les navigateurs à l'échelle mondiale) ou privés (de confiance uniquement au sein d'une organisation).

Autorité d'enregistrement (RA)

Le RA agit comme un gardien. Il reçoit les demandes de certificat, vérifie l'identité du demandeur et transmet les demandes approuvées à l'AC pour signature. Dans de nombreux déploiements, la fonction RA est intégrée à l'AC, mais les grandes organisations la séparent souvent pour des raisons de sécurité et d'évolutivité.

Magasin de certificats / Référentiel

Un répertoire ou une base de données où les certificats émis et leurs métadonnées sont stockés et mis à disposition. Il s'agit souvent d'un répertoire LDAP ou d'une base de données interne qui permet aux clients et aux administrateurs de rechercher les certificats lorsque cela est nécessaire.

Répondeurs CRL & OCSP

Lorsqu'un certificat doit être invalidé avant son expiration, l'Autorité de certification publie cette information via Listes de révocation de certificats (CRLs) ou le Protocole de statut de certificat en ligne (OCSP). Les clients vérifient ces informations pour confirmer qu'un certificat est toujours valide. En savoir plus dans le revocation des certificats chapitre.

Entités finales

Ce sont les utilisateurs, serveurs, appareils ou applications qui détiennent des certificats. Une entité finale génère une paire de clés, demande un certificat, et l'utilise pour authentifier, chiffrer ou signer des données.

Politiques & déclarations de pratique

Toute PKI sérieuse est régie par une Politique de Certificat (CP) et une Déclaration de Pratiques de Certification (CPS). Ces documents définissent les règles : qui peut obtenir un certificat, comment l'identité est vérifiée, comment les clés sont stockées, et ce qui se passe en cas de compromission.

PKI Hiérarchie

Les environnements PKI sont organisés en niveaux hiérarchiques. La structure que vous choisissez a des implications directes sur la sécurité, la flexibilité et la complexité opérationnelle. Voici les trois modèles standards :

1

Niveau unique (Root CA uniquement)

L'architecture la plus simple : un CA qui est à la fois la racine de confiance et l'émetteur du certificat. Elle est facile à mettre en place, mais risquée : si la clé privée du CA racine est compromise, l'ensemble du PKI s'effondre. Ce modèle n'est approprié que pour des environnements petits et à faible risque, comme les réseaux de laboratoire ou les configurations de développement.

2

Deux niveaux (racine + CA émetteur)

Le modèle le plus répandu dans les environnements d'entreprise. L'autorité de certification racine est conservée hors ligne (isolée physiquement et stockée dans un coffre), et une ou plusieurs autorités de certification émettrices subordonnées gèrent l'émission quotidienne des certificats. Si une autorité de certification émettrice est compromise, vous révoquez son certificat et en créez une nouvelle. La racine reste intacte. C'est l'architecture avec laquelle la plupart des organisations devraient commencer.

3

Architecture à trois niveaux (Racine + CA de politique + CA d'émission)

Utilisé par les grandes organisations, les gouvernements et les secteurs réglementés. Une autorité de certification (CA) de politique se situe entre la racine et les CA émetteurs, appliquant des règles spécifiques pour différentes parties de l’organisation. Par exemple, une banque peut disposer d’une CA de politique pour son service informatique interne et d’une autre pour les services destinés aux clients, chacune avec des exigences de validation différentes. Cela ajoute de la complexité opérationnelle mais offre un contrôle granulaire et une isolation forte.

Quel que soit le modèle de niveau, le principe fondamental est le même : la clé privée de l'autorité de certification racine doit être protégée à tout prix. Si la confiance dans la racine est perdue, chaque certificat de la hiérarchie devient non fiable. C'est pourquoi les autorités de certification racines sont presque toujours maintenues hors ligne, et leurs clés sont stockées dans des modules de sécurité matérielle (HSM) au sein d'installations physiquement sécurisées.

Inscription de certificat Processus

L'enrôlement de certificat est le processus par lequel une entité finale obtient un certificat d'une autorité de certification (CA). Bien que le protocole spécifique varie (ACME, SCEP, EST, CMP ou un portail web), le flux logique reste cohérent :

1

Génération de paire de clés

L'entité finale génère une paire de clés asymétrique paire de clés, une clé publique et une clé privée. La clé privée ne quitte jamais le contrôle de l'entité. L'algorithme et la taille des clés (p. ex., RSA 2048, ECDSA P-256) dépendent de la politique organisationnelle.

2

Demande de signature de certificat (CSR)

L'entité regroupe la clé publique avec les informations d'identification (nom du sujet, organisation, noms de domaine) dans une CSR. La CSR est signée avec la clé privée de l'entité, prouvant la possession de la paire de clés correspondante.

3

Vérification d'identité (RA)

L'Autorité d'enregistrement reçoit la CSR et vérifie l'identité du requester's. Pour un certificat TLS public, cela peut être une vérification automatisée du contrôle de domaine. Pour un certificat interne d'employé, cela peut impliquer une vérification contre un répertoire RH ou nécessiter l'approbation du manager.

4

Émission de certificat (CA)

Après approbation, la CA construit le certificat X.509 (intégrant la clé publique, les informations du sujet, la période de validité, les extensions et le numéro de série) et signe ensuite avec la clé privée de la CA. Cette signature est la preuve de confiance.

5

Installation de certificat & Utilisation

Le certificat signé est renvoyé à l'entité finale et installé sur le système cible (un serveur web, un ordinateur portable, un dispositif IoT). À partir de ce point, le certificat est utilisé pour les échanges TLS, la signature d'e-mails, la signature de code ou l'authentification mutuelle, selon son type et ses extensions d'utilisation des clés.

Ancrages de confiance & Magasins de confiance

Un point d'ancrage de confiance est un certificat racine d'autorité de certification qu'un système accepte comme intrinsèquement fiable, sans avoir besoin que quiconque le garantisse. Les points d'ancrage de confiance sont le point de départ de toute validation de certificat. Si votre système fait confiance à une autorité de certification racine, il fera confiance à chaque certificat émis sous cette racine (à condition que chaîne de confiance soit valide).

Les ancres de confiance sont stockées dans magasins de confiance, collections sélectionnées de certificats d'autorité racine maintenues par les systèmes d'exploitation, les navigateurs et les applications. Apple, Microsoft, Mozilla et Google maintiennent chacun leurs propres programmes de magasins de confiance avec des exigences strictes d'inclusion. Une autorité de certification racine doit subir des audits rigoureux (WebTrust, ETSI) et se conformer aux exigences de base du CA/Browser Forum pour être incluse.

Pour les PKI privées (le type le plus utilisé par les entreprises), les ancres de confiance sont distribuées en interne. Le certificat racine de votre organisation' est déployé sur les ordinateurs portables des employés, les serveurs et les appareils réseau via la stratégie de groupe, les outils de gestion de configuration ou les profils MDM. Tout certificat émis par votre CA privée ne sera approuvé que par les systèmes qui possèdent votre racine dans leur magasin de confiance.

Cette distinction entre confiance publique et confiance privée est fondamentale. La confiance publique signifie que votre certificat est reconnu par des milliards d'appareils dans le monde. La confiance privée signifie qu'il n'est reconnu que dans votre environnement contrôlé. Les deux sont valides; elles servent des objectifs différents.

PKI Opérations

Faire fonctionner une PKI ne se limite pas au logiciel. Elle implique la sécurité physique, les procédures cryptographiques et une supervision continue. Voici les bases opérationnelles qui garantissent la fiabilité d’une PKI :

Cérémonies de clés

Une cérémonie de clé est une procédure formelle et auditée pour générer ou utiliser la clé privée du CA. Les cérémonies de clé de l’autorité racine sont particulièrement rigoureuses : elles se déroulent dans des salles physiquement sécurisées, avec plusieurs témoins, enregistrement vidéo et scripts stricts. Chaque étape est documentée à des fins d’audit. L’objectif est de garantir que le matériel cryptographique le plus sensible soit manipulé avec une responsabilité absolue.

Modules de sécurité matérielle (HSM)

Un HSM est un dispositif matériel résistant à la falsification qui génère, stocke et gère les clés cryptographiques. Dans PKI, les HSM protègent les clés privées du CA's ; les clés ne quittent jamais le HSM en texte clair. Si quelqu’un altère physiquement l’appareil, il détruit les clés. Les HSM sont la norme industrielle pour tout CA de production, et leur utilisation est généralement requise par les cadres d’audit tels que WebTrust et ETSI.

Journalisation d’audit & conformité

Chaque action dans une PKI bien gérée est enregistrée : émission de certificats, révocation, génération de clés, changements de politique, accès administrateur. Ces journaux sont essentiels pour la réponse aux incidents, la conformité réglementaire et la préparation aux audits. Des cadres comme eIDAS, NIS2 et DORA exigent de plus en plus que les organisations démontrent le contrôle de leur infrastructure cryptographique.

Récupération après sinistre & sauvegarde de clés

Une panne de CA signifie qu'aucun nouveau certificat ne peut être délivré et qu'aucune révocation ne peut être traitée. Les environnements PKI de production nécessitent des plans de reprise après sinistre testés, incluant la sauvegarde des clés HSM (souvent en utilisant le fractionnement des clés avec des contrôles M-sur-N), une infrastructure redondante et des procédures de récupération documentées.

Comment nous aidons

Evertrust & Opérations PKI

Exécutez votre propre PKI: Evertrust PKI fournit une plateforme d'autorité de certification complète et prête pour la production. Déployez des AC racine et subordonnées avec une intégration HSM intégrée, l'application de politiques et les protocoles d'inscription (ACME, SCEP, EST, CMP), sans devoir construire l'infrastructure à partir de zéro.

Visibilité du cycle de vie complet: Evertrust CLM vous offre une vue unique sur chaque AC, publique et privée, afin que vous sachiez toujours quels certificats existent, où ils sont déployés et quand ils expirent.

Prêt pour l’audit dès le premier jour

Prise en charge flexible de la hiérarchie: Que vous ayez besoin d’une PKI à deux niveaux simple ou d’une architecture à plusieurs niveaux complexe avec des autorités de certification de politique et une certification croisée, Evertrust PKI prend en charge toute la gamme de modèles de déploiement.

Parler à un expert Découvrez Evertrust PKI
Précédent
IoT & certificats d'appareils
Tous les chapitres
Suivant
Chaînes de certificats & Confiance