Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Part 4 · Gestion du cycle de vie 11 min de lecture

Certificat automatisé Gestion

À mesure que la durée de vie des certificats diminue et que l'infrastructure s'étend, le renouvellement manuel n'est plus viable. Les protocoles d'automatisation tels qu'ACME, SCEP, EST et CMP permettent aux machines de gérer l'inscription, le renouvellement et la révocation sans intervention humaine.

Faits rapides

Type
Éducatif
Niveau
Intermédiaire
Sujets
7 sections
Chapitre
17 sur 25
Suivant
Politique de certificat & gouvernance

Introduction

Pendant des années, la gestion des certificats était un processus manuel. Un administrateur générait une paire de clés, soumettait une demande de signature de certificat, attendait l'approbation, téléchargeait le certificat, l'installait sur le serveur et créait un rappel dans le calendrier pour tout refaire avant l'expiration. Cette approche fonctionnait lorsque les organisations géraient quelques certificats avec une durée de vie d'un ou deux ans.

Cette époque est révolue. L'infrastructure moderne peut impliquer des milliers de certificats à travers les environnements cloud, les orchestrateurs de conteneurs, les flottes IoT et les architectures de microservices. En même temps, l'industrie se dirige vers des durées de vie de certificats plus courtes, avec des certificats de 90 jours déjà standard pour le TLS public et des durées de vie de 47 jours à l'horizon. Lorsque vous multipliez des milliers de certificats par des renouvellements toutes les quelques semaines, le calcul est clair : l'automatisation n'est pas optionnelle.

Heureusement, plusieurs protocoles ont été développés spécifiquement pour automatiser l'inscription, le renouvellement et la révocation des certificats. Chaque protocole a été conçu pour une époque différente et un ensemble différent de cas d'utilisation. Comprendre leurs forces et leurs limites est essentiel pour choisir la bonne approche pour votre environnement.

ACME Protocole

Le Environnement de Gestion Automatique des Certificats (ACME) protocole est la norme d'automatisation la plus largement adoptée pour certificats TLS. Initialement développé par l'Internet Security Research Group (ISRG) pour Let's Encrypt, ACME a été standardisé en tant que RFC 8555 en 2019 et est depuis devenu le protocole de facto pour l'émission automatisée de certificats.

1

Enregistrement de compte

Le client ACME s’inscrit auprès de l’Autorité de Certification (CA) en créant un compte et en acceptant les conditions d’utilisation. Cela crée une paire de clés qui authentifie toutes les requêtes ultérieures.

2

Challenge de validation de domaine

Le client prouve le contrôle du domaine en complétant l’un des plusieurs types de challenge : HTTP-01 (placement d’un fichier sur le serveur web), DNS-01 (création d’un enregistrement DNS TXT), ou TLS-ALPN-01 (réponse au niveau de la couche TLS). DNS-01 est particulièrement utile pour les certificats génériques et les systèmes internes.

3

Émission de certificat

Une fois le défi vérifié, le client soumet une CSR et l'AC délivre le certificat. L'ensemble du processus, de la demande au certificat installé, peut s'achever en quelques secondes sans aucune intervention humaine.

4

Renouvellement automatique

Les clients ACME sont généralement configurés pour vérifier l'expiration du certificat et le renouveler automatiquement (souvent aux deux tiers de la durée de vie du certificat'). Cela élimine complètement le risque d'oublier un renouvellement.

Let's Encrypt a rendu ACME célèbre en offrant des certificats DV gratuits et automatisés. Aujourd'hui, de nombreuses autorités de certification d'entreprise prennent également en charge ACME, permettant aux organisations d'utiliser le même protocole pour les certificats publics et internes. Les clients ACME populaires incluent Certbot, acme.sh, Caddy (qui intègre ACME), et cert-manager pour Kubernetes.

SCEP

Le Simple Certificate Enrollment Protocol (SCEP) est l'un des plus anciens protocoles d'automatisation des certificats, développé à l'origine par Cisco à la fin des années 1990. Malgré son âge, SCEP reste largement déployé, en particulier pour l'enrôlement les appareils réseau et les équipements IoT qui ne disposent pas d'un support de protocole moderne.

Points forts

Prise en charge extrêmement large des appareils. Les routeurs, commutateurs, pare-feux, imprimantes, plateformes de gestion des appareils mobiles (MDM) et de nombreux systèmes hérités prennent en charge SCEP nativement. Il utilise des opérations HTTP GET/POST simples, ce qui le rend compatible avec les environnements contraints.

Limites

SCEP n'a jamais été formellement standardisé en tant que RFC (il reste un projet Internet). Il repose sur un secret partagé (mot de passe de défi) pour l'authentification initiale, ce qui pose des risques de sécurité s'il est intercepté. SCEP ne dispose également d'aucun support natif pour le renouvellement des certificats ; les appareils doivent généralement se réinscrire à partir de zéro.

Malgré ses limites, SCEP est souvent la seule option pour les infrastructures héritées. Les organisations qui doivent prendre en charge à la fois les appareils modernes et hérités exécutent fréquemment SCEP aux côtés de protocoles plus récents.

EST

Inscription sur Transport Sécurisé (EST), définie dans RFC 7030, a été conçue comme le remplacement moderne de SCEP. Elle répond à de nombreuses faiblesses de sécurité de SCEP tout en offrant une architecture plus propre et plus extensible pour l'inscription des certificats.

Sécurité basée sur TLS

Toutes les opérations EST s'exécutent via HTTPS (TLS), ce qui signifie que le canal d'inscription lui‑même est chiffré et authentifié. Cela élimine la vulnérabilité du mot de passe de défi qui affecte SCEP et fournit une base de sécurité beaucoup plus solide.

Réinscription native

Contrairement à SCEP, EST dispose d'un point de réinscription dédié. Un appareil peut utiliser son certificat existant pour s'authentifier et demander un nouveau, permettant une rotation transparente des certificats sans secrets partagés ni intervention manuelle.

Authentification flexible

EST prend en charge plusieurs méthodes d'authentification : certificats clients existants, authentification HTTP Basic/Digest, ou une combinaison. Cette flexibilité le rend adapté tant au démarrage initial qu'au renouvellement continu dans des environnements divers.

EST est de plus en plus adopté dans les environnements d'entreprise, en particulier pour l'identité des appareils et les cas d'utilisation PKI internes. C'est le protocole recommandé pour les nouveaux déploiements où la compatibilité SCEP n'est pas requise.

CMP

LeProtocole de gestion des certificats (CMP), défini dans RFC 4210 (avec des mises à jour dans RFC 9480 et RFC 9483), est le plus complet des quatre protocoles. CMP a été conçu pour prendre en charge le complet cycle de vie du certificat, depuis la demande initiale jusqu'au renouvellement, la mise à jour, la révocation et même la récupération de clé.

Support complet du cycle de vie

CMP couvre l'inscription, le re-clavage, le renouvellement, la révocation et la certification croisée. Aucun autre protocole ne gère autant d'opérations du cycle de vie nativement.

Flexibilité du transport

CMP peut fonctionner sur HTTP, HTTPS, ou même directement sur TCP. Cela le rend adaptable aux environnements où la terminaison TLS est gérée différemment ou où des transports légers sont nécessaires.

Niveau entreprise

CMP inclut des fonctionnalités telles que la génération de clés centrale, la preuve de possession et la gestion détaillée des erreurs, essentielles pour les industries réglementées comme les télécommunications, l'automobile et l'IoT industriel.

Compromis de complexité

L'exhaustivité de CMP a un coût. Le protocole est nettement plus complexe à mettre en œuvre et à configurer que ACME ou EST, ce qui limite son adoption aux organisations qui ont réellement besoin de ses capacités avancées.

CMP est particulièrement répandu dans l'industrie des télécommunications (les normes 3GPP le mentionnent) et dans les environnements industriels où les appareils doivent effectuer des mises à jour de clés et des renouvellements de certificats sur des réseaux contraints.

Choisir le bon Protocole

Aucun protocole unique n'est le meilleur pour chaque scénario. Le bon choix dépend de vos appareils, de votre infrastructure CA et du niveau d'automatisation du cycle de vie dont vous avez besoin. Voici comment ils se comparent :

ACME SCEP EST CMP
Standard RFC 8555 Projet Internet RFC 7030 RFC 4210
Meilleur pour Serveurs web, TLS Appareils hérités, MDM Appareils modernes, IoT Télécom, industriel
Transport HTTPS HTTP HTTPS HTTP, HTTPS, TCP
Renouvellement Automatique Réinscription Réinscription native Renouvellement natif
Complexité Faible Faible Moyen Élevé
Révocation Pris en charge Non pris en charge Non natif Natif

En pratique, la plupart des organisations finissent par prendre en charge plusieurs protocoles. ACME gère les certificats de serveurs web, SCEP couvre les équipements réseau hérités, EST gère l’inscription moderne des appareils, et CMP sert des cas d’utilisation industriels spécialisés. L’essentiel est d’avoir un inventaire centralisé qui suit les certificats quel que soit le protocole qui les a émis.

Comment nous aidons

Evertrust & Automatisation des certificats

Prise en charge multi-protocole: Evertrust PKI prend en charge nativement ACME, SCEP, EST et CMP, vous offrant une plateforme CA unique qui prend en charge tous les protocoles dont votre infrastructure a besoin. Aucun serveur ou passerelle séparé n'est requis.

Suivi unifié du cycle de vie: Evertrust CLM suit chaque certificat, quel que soit le protocole, l'Autorité de certification ou l'environnement. Qu'un certificat soit émis via ACME, inscrit via SCEP ou provisionné via CMP, il apparaît dans le même inventaire avec la même surveillance et alerte.

Application de la politique lors de l'inscription: L'automatisation ne signifie pas perdre le contrôle. Evertrust applique les politiques de certificats de votre organisation's au point d'émission, garantissant que les demandes automatisées respectent toujours les exigences d'algorithme de clé, de validité et de nommage.

Prêt pour des durées de vie plus courtes: Avec le support natif d'ACME et des flux de travail d'automatisation continus, Evertrust garantit que votre infrastructure est prête pour le passage à des durées de vie de certificats de 90 jours et 47 jours sans augmenter la charge opérationnelle.

Parler à un expert Découvrir PKI
Précédent
Découverte de certificats & inventaire
Tous les chapitres
Suivant
Politique de certificat & gouvernance