Création d’une autorité de certification

Dès qu’il est question de sécurité en informatique, il est commun d’utiliser des certificats de sécurité SSL. Mac OS X Server n’échappe pas à cette règle et propose plusieurs services pouvant être sécurisé de la sorte (web, ical, addressbook, mail…).

Pour qu’un certificat SSL soit validé par le système client, il faut qu’il ait été signé par un tiers de confiance. Ce tiers de confiance est généralement une société qui paye pour avoir son propre certificat dans votre machine (Mac OS X s’installe avec et connait ainsi l’empreinte du tiers de confiance).

Si l’utilisation d’un certificat signé par un tiers reconnu est réellement obligatoire pour la publication de services externe, dédiée au grand public, elle ne l’est pas forcément pour une utilisation interne à l’entreprise uniquement (entendre ici, sur des machines appartenant à l’entreprise, mais qui sont éventuellement mobile).

L’idée est simple, nous allons créer une autorité de certification interne à l’entreprise et faire en sorte que tous les Mac de l’entreprise soient installés avec le certificat racine qui servira à valider tous les certificats émis.

La différence avec un certificat autosigné unique est dans le fait qu’avec ce seul certificat racine vous allez pouvoir valider une infinité de certificats émis et donc créer un certificat par service voir un certificat par client et éventuellement pouvoir le révoquer.

L’objectif n’est donc pas simplement d’authentifier la communication avec un serveur, mais également d’identifier le client.

S’il est besoin de le dire, cet article ne s’adresse absolument pas aux débutants, mais aux administrateurs système déjà au fait de ce que représente cette infrastructure.

La solution choisie pour cet article est EJBCA, une application web Java qui répond à toutes les attentes d’une autorité de certification (création, révocations, etc.). Cet article portera uniquement sur l’installation du produit et non son utilisation.

Continuer la lecture

Mon avis personnel sur la fin de vie des Xserve

Il est assez rare que je commente une annonce Apple. Qu’elles soient bonnes ou mauvaises, j’ai toujours tenu ce blog à l’écart du nuage de commentaires portant sur les annonces Apple. Cependant hier nous avons eu droit à une très mauvaise annonce qui concerne tous les lecteurs de ce blog, la fin de vie des Xserves sans vraies solutions de remplacement.

Voici donc mon avis personnel sur cette annonce, avis totalement personnel et détaché de mon activité de formateur.
Continuer la lecture