Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 4 · Lifecycle Management Intermediate 11 min read

Gestion automatisée des certificats

À mesure que les durées de vie des certificats raccourcissent et que l'infrastructure s'étend, le renouvellement manuel n'est plus tenable. Les protocoles d'automatisation comme ACME, SCEP, EST et CMP permettent aux machines de prendre en charge l'enrôlement, le renouvellement et la révocation sans intervention humaine.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
17 sur 25
Suivant
Politique et gouvernance des certificats

Vue d'ensemble

Pendant des années, la gestion des certificats a été un processus manuel. Un administrateur générait une paire de clés, soumettait une demande de signature de certificat (CSR), attendait l'approbation, téléchargeait le certificat, l'installait sur le serveur et programmait un rappel dans son calendrier pour tout recommencer avant l'expiration. Cette approche fonctionnait lorsque les organisations géraient une poignée de certificats avec des durées de vie d'un ou deux ans.

Cette époque est révolue. Une infrastructure moderne peut compter des milliers de certificats répartis sur des environnements cloud, des orchestrateurs de conteneurs, des flottes IoT et des architectures de microservices. En parallèle, le secteur s'oriente vers des durées de vie de certificats plus courtes, les certificats de 90 jours étant déjà la norme pour le TLS public et les durées de 47 jours se profilant à l'horizon. Lorsque l'on multiplie des milliers de certificats par des renouvellements toutes les quelques semaines, le calcul est sans appel : l'automatisation n'est plus une option.

Heureusement, plusieurs protocoles ont été développés spécifiquement pour automatiser l'enrôlement, le renouvellement et la révocation des certificats. Chacun a été conçu pour une époque et un ensemble de cas d'usage différents. Comprendre leurs forces et leurs limites est essentiel pour choisir l'approche adaptée à votre environnement.

Étapes clés

1

Enregistrement du compte

Le client ACME s'enregistre auprès de la CA en créant un compte et en acceptant les conditions de service. Cela établit une paire de clés qui authentifie toutes les requêtes ultérieures.

2

Défi de validation de domaine

Le client prouve qu'il contrôle le domaine en complétant l'un des types de défis suivants : HTTP-01 (dépôt d'un fichier sur le serveur web), DNS-01 (création d'un enregistrement DNS TXT) ou TLS-ALPN-01 (réponse au niveau de la couche TLS). DNS-01 est particulièrement utile pour les certificats wildcard et les systèmes internes.

3

Émission du certificat

Une fois le défi vérifié, le client soumet un CSR et la CA émet le certificat. L'ensemble du processus, de la demande au certificat installé, peut s'achever en quelques secondes, sans aucune interaction humaine.

4

Renouvellement automatique

Les clients ACME sont généralement configurés pour surveiller l'expiration des certificats et procéder au renouvellement automatiquement (souvent aux deux tiers de la durée de vie du certificat). Cela élimine le risque d'oublier un renouvellement.

Comparaison

ACMESCEPESTCMP
NormeRFC 8555Internet DraftRFC 7030RFC 4210
Idéal pourServeurs web, TLSÉquipements hérités, MDMÉquipements modernes, IoTTélécoms, industrie
TransportHTTPSHTTPHTTPSHTTP, HTTPS, TCP
RenouvellementAutomatiqueRé-enrôlementRé-enrôlement natifRenouvellement natif
ComplexitéFaibleFaibleMoyenneÉlevée
RévocationPrise en chargeNon prise en chargeNon nativeNative
Comment nous aidons

Evertrust & Gestion automatisée des certificats

Prise en charge multi-protocoleEvertrust PKI prend en charge nativement ACME, SCEP, EST et CMP, vous offrant une plateforme CA unique qui parle tous les protocoles dont votre infrastructure a besoin. Aucun serveur ni passerelle supplémentaire à déployer.

Suivi unifié du cycle de vieEvertrust CLM suit chaque certificat, quel que soit le protocole, la CA ou l'environnement. Qu'un certificat ait été émis via ACME, enrôlé via SCEP ou provisionné via CMP, il apparaît dans le même inventaire, avec la même supervision et les mêmes alertes.

Application des politiques à l'enrôlementL'automatisation ne signifie pas la perte de contrôle. Evertrust applique les politiques de certificats de votre organisation au moment de l'émission, garantissant que les demandes automatisées respectent les exigences en matière d'algorithmes de clé, de validité et de nommage.

Prêt pour des durées de vie plus courtesGrâce à la prise en charge native d'ACME et à des workflows d'automatisation continue, Evertrust prépare votre infrastructure à la transition vers les certificats de 90 et 47 jours, sans alourdir la charge opérationnelle.

Parler à un expert Découvrir PKI
Découverte et inventaire des certificats Politique et gouvernance des certificats