Le Blog Amazon Web Services
Comment héberger et gérer une infrastructure de gestion de certificats privée complète dans AWS
Le service AWS Certificate Manager (ACM) offre une fonctionnalité Private CA (autorité de certification privée) qui permet de créer et gérer le cycle de vie d’autorités de certification racine privées ainsi que la hiérarchie d’Autorités de Certification (AC) subordonnées. Vous pouvez désormais, héberger et gérer l’ensemble de l’infrastructure de gestion de certificats (PKI) de votre entreprise dans AWS.
Les administrateurs d’autorités de certification (ACs) peuvent utiliser ACM Private CA pour créer une hiérarchie complète d’autorités de certification racine et subordonnées, sans recourir à des solutions tierces. Les clients AWS peuvent créer des ACs sécurisées et hautement disponibles dans l’une des régions AWS dans laquelle fonctionnalité Private CA d’ACM est disponible. La fonctionnalité Private CA du service ACM fournit une sécurité essentielle au fonctionnement d’une autorité de certification conformément aux meilleures pratiques de sécurité. Les autorités de certification privées d’ACM sont sécurisées avec des modules de sécurité matériels (HSMs) gérés par AWS, ce qui supprime la charge et les coûts opérationnels liés au maintien de l’infrastructure.
Aperçu de la hiérarchie des autorités de certification
Les certificats sont utilisés pour établir une identité et des canaux de communication sécurisés. Une ressource présente un certificat à un serveur pour établir son identité. Si le certificat est valide et qu’une chaîne de confiance peut être construite à partir du certificat en remontant la hiérarchie des ACs signataires vers une AC racine approuvée, le serveur peut alors identifier et faire confiance à la ressource.
La mise en place d’une hiérarchie d’ACs fournit une sécurité renforcée avec des contrôles d’accès restrictifs pour l’AC racine, la plus fiable au sommet de la chaîne de confiance, tout en permettant un accès plus permissif et une émission de certificats en masse pour les autorités de certification subordonnées situées plus bas dans la chaîne.
L’autorité de certification racine est la base cryptographique (racine de confiance) sur laquelle repose l’émission de certificats sur lequel des certificats peuvent être émis. Elle comprend une clé privée pour la signature (l’émission) de certificats et un certificat racine qui identifie l’autorité de certification racine et lie la clé privée au nom de l’autorité de certification. Le certificat racine est distribué aux magasins de certificats de confiance de chaque entité dans un environnement. Lorsque des ressources tentent de se connecter les unes aux autres, elles vérifient les certificats présentés par chaque entité. Si les certificats sont valides et qu’une chaîne de confiance peut être construite en remontant à un certificat racine installé dans le magasin de certificats de confiance, un « accord » appelé handshake, se produit entre les ressources qui prouve de manière cryptographique l’identité de chaque entité à l’autre. Cela permet par la suite de créer un canal de communication chiffré (TLS / SSL) entre elles.
Comment configurer une hiérarchie d’autorités de certification avec Private CA d’ACM
Vous pouvez utiliser la fonctionnalité Private CA d’ACM pour créer une hiérarchie sans avoir besoin d’une autorité de certification racine externe, et commencer à émettre des certificats pour identifier les ressources au sein de votre organisation. Vous pouvez créer des autorités de certification racine et subordonnées dans presque toutes les configurations souhaitées, notamment en définissant une structure d’autorités de certification pour répondre à vos besoins ou en répliquant une structure d’autorités de certification existante.
Pour commencer, vous pouvez utiliser la console, les APIs ou la CLI de Private CA d’ACM pour créer une autorité de certification racine et subordonnée et émettre des certificats à partir de cette dernière.
Vous pouvez créer une hiérarchie d’autorités de certification à deux niveaux à l’aide de la console AWS en moins de 10 minutes à l’aide de l’assistant de Private CA d’ACM, qui vous guide à travers chaque étape de la création d’une autorité de certification racine ou subordonnée. Lorsque vous créez une autorité de certification secondaire, l’assistant vous invite à chaîner l’AC subordonnée à une AC parente.
Après avoir créé une nouvelle autorité de certification racine, vous devez la distribuer dans les magasins des certificats de confiance des systèmes d’exploitation et des navigateurs. Si vous souhaitez une hiérarchie simple à un niveau pour du développement et des tests, vous pouvez créer une autorité de certification racine et commencer à émettre des certificats privés directement à partir de l’autorité de certification racine.
Note : le compromis de cette approche réside dans le fait que vous ne pouvez pas révoquer le certificat de l’autorité de certification racine car ce dernier est installé dans vos magasins certificats de confiance. Pour « dissocier » l’autorité de certification racine dans ce scénario, vous devez remplacer l’autorité de certification racine de vos magasins de clés de confiance par une nouvelle autorité de certification racine.
Autorités de certification racines hors ligne versus en ligne
Certaines organisations ainsi que toutes les autorités de certification publiques conservent leurs autorités de certification racines hors ligne (c’est-à-dire déconnectées du réseau) dans un coffre physique. En revanche, il est nécessaire de mettre en ligne ces autorités racines pour signer de nouvelles autorités de certification subordonnées. Avec Private CA d’ACM, les clients peuvent, par exemple, créer une autorité de certification racine avec une durée de vie de 20 ans et la désactiver pour empêcher son utilisation hors opération particulière. Seul un profil administrateur privilégié peut par exemple l’activer lorsqu’il est nécessaire de signer de nouveaux certificats d’autorité de certification subordonnés. Étant donné que l’utilisation de l’autorité de certification racine pour émettre un certificat est une opération rare et soigneusement contrôlée, les clients surveillent les journaux, les rapports d’audit et génèrent des alarmes les notifiant lorsque leur autorité de certification racine est utilisée pour émettre un certificat. Les autorités de certification émettrices subordonnées sont les plus basses de la hiérarchie. Elles sont généralement utilisées pour l’émission de certificats en masse afin d’identifier des ressources. Les autorités de certification émettrices subordonnées ont généralement une durée de vie plus courte (un à deux ans) et moins de restrictions à la signature de nouveaux certificats.
Les clés privées des autorités de certification générées avec Private CA d’ACM, sont par ailleurs protégées par des HSM FIPS 140-2 de niveau 3. Vous pouvez vérifier que l’autorité de certification n’est utilisée qu’à des fins autorisées en consultant les journaux et les rapports d’audit AWS CloudTrail. Vous pouvez renforcer la protection contre des erreurs d’émission en configurant les autorisations IAM (AWS Identity and Access Management) qui limitent l’accès à votre autorité de certification. Avec Private CA d’ACM, vous pouvez révoquer les certificats émis par votre autorité de certification et utiliser la liste de révocation de certificats CRL (Certificat Revocation List), générée Private CA d’ACM pour fournir des informations de révocation aux ressources. Cela simplifie la configuration et le déploiement.
Cas d’usage pour le déploiement d’une hiérarchie d’AC racine privée
Il existe trois cas d’utilisation courants pour le déploiement de hiérarchies d’autorité de certification racine.
Le cas d’usage le plus courant concerne les clients qui sont déjà utilisateurs avancés d’une infrastructure de gestion de certificats (PKI) et qui possèdent une autorité de certification racine hors ligne protégée par un HSM. Cependant, à des fins de développement, test et qualification, ils ne veulent pas utiliser les mêmes autorités de certification racine de production. La nouvelle fonctionnalité Private CA d’ACM leur permet de configurer facilement une nouvelle infrastructure de gestion de certificats pour leur environnement de test, similaire à leur production, mais utilisant une racine de confiance distincte.
Le deuxième cas d’usage concerne les clients qui souhaitent utiliser une autorité de certification privée, mais qui n’ont pas une connaissance approfondie de la PKI et n’ont pas investi dans des HSM. Ces clients sont parvenus à générer une autorité de certification racine souvent à l’aide d’outils tels que OpenSSL. Grâce à l’offre Private CA d’ACM, ils sont désormais en mesure de créer une autorité de certification racine protégée par un HSM et restreinte par une stratégie d’accès IAM. Cela augmente la sécurité de leur hiérarchie et simplifie leur déploiement.
Le troisième cas d’usage concerne les clients qui évaluent une infrastructure à clé publique (PKI) interne et cherchent également à gérer un HSM hors ligne. Ces clients identifient des investissements importants dans les processus, la gestion, les coûts et la formation nécessaires pour mettre en place l’infrastructure complète requise. Ils peuvent supprimer ces coûts en gérant l’ensemble de l’infrastructure de certificats privés de leur organisation dans AWS.
Comment commencer
Avec la fonctionnalité PrivateCA d’ACM vous pouvez créer une hiérarchie PKI et commencer à émettre des certificats privés pour identifier les entités et la sécuriser les communications avec TLS. Pour commencer, ouvrez la console Private CA d’ACM. Pour en savoir plus, vous pouvez lire Démarrez avec AWS Certificate Manager et la section démarrez dans le Guide de l’utilisateur ACM Private CA.
Article initialement contribué par Josh Rosenthol et Todd Cignetti, AWS Certificate Manager and ACM Private CA Product Managers . Traduit en français par Djamel Bourokba, Entreprise Solution Architecture, LinkedIn.