Le fonctionnement de la PKI

Vue d'ensemble

Lorsque l'on évoque la « PKI », on pense souvent aux seuls certificats. Or, un certificat numérique n'est que la partie la plus visible d'un système bien plus vaste. La PKI (Public Key Infrastructure) désigne l'ensemble complet des rôles, politiques, équipements, logiciels et procédures qui permettent de créer, gérer, distribuer, utiliser, stocker et révoquer des certificats numériques.

Pour fixer les idées : si un certificat est un permis de conduire, la PKI est l'ensemble du système qui le sous-tend : l'administration qui délivre les permis, la base de données qui conserve les dossiers, les règles qui définissent qui peut l'obtenir, la procédure de retrait après une infraction et les équipements utilisés pour le contrôler lors d'un contrôle routier. Aucun élément ne fonctionne isolément.

Comprendre le fonctionnement de la PKI est essentiel pour quiconque est responsable de la sécurisation des communications, de la gestion des identités machines ou de la conception de la confiance au sein d'une organisation. Ce chapitre passe en revue chaque composant majeur, des autorités de certification et autorités d'enregistrement aux hiérarchies de confiance, en passant par les protocoles d'enrôlement et les pratiques opérationnelles qui garantissent la fiabilité de l'ensemble.

Étapes clés

Niveau unique (CA racine seule)

L'architecture la plus simple : une seule CA, à la fois racine de confiance et émettrice des certificats. Elle est facile à mettre en place, mais risquée : si la clé privée de la CA racine est compromise, l'ensemble de la PKI s'effondre. Ce modèle ne convient qu'aux environnements restreints et à faible risque, comme les réseaux de laboratoire ou les environnements de développement.

Deux niveaux (CA racine + CA émettrice)

Le modèle le plus courant en environnement d'entreprise. La CA racine est maintenue hors ligne (déconnectée du réseau et conservée dans un coffre), tandis qu'une ou plusieurs CA subordonnées émettrices gèrent l'émission quotidienne des certificats. Si une CA émettrice est compromise, son certificat est révoqué et une nouvelle est mise en place. La racine reste intacte. C'est l'architecture par laquelle la plupart des organisations devraient commencer.

Trois niveaux (CA racine + CA de politique + CA émettrice)

Utilisée par les grandes organisations, les administrations et les secteurs régulés. Une CA de politique s'intercale entre la racine et les CA émettrices, appliquant des règles spécifiques à différentes parties de l'organisation. Par exemple, une banque peut disposer d'une CA de politique pour son informatique interne et d'une autre pour ses services destinés aux clients, chacune avec des exigences de validation distinctes. Cela ajoute de la complexité opérationnelle, mais offre un contrôle fin et une forte isolation.

Composants clés

Autorité de certification (CA)

L'autorité de certification est l'entité de confiance qui émet et signe les certificats. Elle atteste du lien entre une clé publique et une identité. Les CA peuvent être publiques (reconnues par les navigateurs dans le monde entier) ou privées (reconnues uniquement au sein d'une organisation).

Autorité d'enregistrement (RA)

La RA joue le rôle de filtre. Elle reçoit les demandes de certificat, vérifie l'identité du demandeur, puis transmet les demandes approuvées à la CA pour signature. Dans de nombreux déploiements, la fonction de RA est intégrée à la CA, mais les grandes organisations les séparent souvent pour des raisons de sécurité et d'évolutivité.

Magasin / Référentiel de certificats

Un annuaire ou une base de données dans lequel sont stockés les certificats émis et leurs métadonnées, et qui les rend accessibles. Il s'agit souvent d'un annuaire LDAP ou d'une base de données interne permettant aux clients et aux administrateurs de retrouver les certificats au besoin.

Répondeurs CRL et OCSP

Lorsqu'un certificat doit être invalidé avant son expiration, la CA publie cette information via des Certificate Revocation Lists (CRL) ou via le protocole OCSP (Online Certificate Status Protocol). Les clients les consultent pour confirmer qu'un certificat est toujours valide. Pour en savoir plus, consultez le chapitre sur la révocation de certificats.

Entités finales

Il s'agit des utilisateurs, serveurs, équipements ou applications qui détiennent des certificats. Une entité finale génère une paire de clés, demande un certificat et l'utilise pour s'authentifier, chiffrer ou signer des données.

Politiques et déclarations de pratiques

Toute PKI sérieuse est régie par une politique de certification (CP) et une déclaration des pratiques de certification (CPS). Ces documents définissent les règles : qui peut obtenir un certificat, comment l'identité est vérifiée, comment les clés sont stockées et ce qui se passe en cas de compromission.

Evertrust & Le fonctionnement de la PKI

Exploitez votre propre PKI — Evertrust PKI fournit une plateforme d'autorité de certification complète, prête pour la production. Déployez des CA racines et subordonnées avec une intégration HSM native, l'application des politiques et des protocoles d'enrôlement (ACME, SCEP, EST, CMP), sans avoir à construire toute la mécanique de zéro.

Visibilité complète sur le cycle de vie — Evertrust CLM vous offre une vue unifiée sur l'ensemble de vos CA, publiques comme privées, pour savoir à tout moment quels certificats existent, où ils sont déployés et quand ils expirent.

Prêt pour l'audit dès le premier jour — Chaque opération sur un certificat est journalisée et traçable. Les rapports intégrés vous aident à répondre aux exigences de conformité eIDAS, NIS2, DORA et aux référentiels d'audit internes, sans collecte manuelle de preuves.

Prise en charge de hiérarchies flexibles — Que vous ayez besoin d'une PKI simple à deux niveaux ou d'une architecture multi-niveaux complexe avec des CA de politique et de la certification croisée, Evertrust PKI prend en charge l'ensemble des modèles de déploiement.

PKI

CLM

Cas d'usage

Secteurs

Conformité

Apprendre

Outils & Analyses

Événements & Communauté

En bref