Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Chapitre 3. Infrastructure SSL

Pour les clients de Red Hat Network, le sujet de la sécurité est de la plus grande importance. L'une des forces de Red Hat Network est sa capacité de traiter chaque requête sur SSL (Secure Sockets Layer, couche de sockets sécurisés). Pour garder ce niveau de sécurité, les clients qui installent Red Hat Network dans leurs infrastructures doivent générer des clés et des certificats SSL personnalisés.
La création et le déploiement manuels des clés et des certificats SSL peuvent demander une implication importante. Le RHN Proxy Server et le RHN Satellite Server vous permettent de construire vos propres clés et certificats SSL selon votre propre CA (Certificate Authority) privé durant l'installation. De plus, un utilitaire en ligne commande, l'RHN SSL Maintenance Tool, existe dans ce but. Dans tous les cas, ces clés et certificats doivent ensuite être déployés sur tous les systèmes au sein de votre infrastructure gérée. Dans de nombreux cas, le déploiement de ces clés et ces certificats SSL est automatisé pour vous. Ce chapitre décrit des méthodes efficaces pour mener toutes ces tâches à bien.
Veuillez noter que ce chapitre n'explique pas SSL en profondeur. L'RHN SSL Maintenance Tool a été conçu pour cacher la plus grande partie de la complexité impliquée dans la configuration et la maintenance de cette infrastructure de clé publique (PKI, public-key infrastructure). Pour davantage d'informations, consultez parmi les bonnes références disponibles dans votre librairie.

3.1. Une brève introduction à SSL

SSL, de l'anglais Secure Sockets Layer ou couche de sockets sécurisés, est un protocole qui permet aux applications client-serveur de transmettre des informations de manière sécurisée. SSL utilise un système de paires de clés publiques et privées pour crypter les communications passées entre les clients et les serveurs. Les certificats publics peuvent être accessibles, alors que les clés privées doivent être sécurisées. La relation mathématique (une signature numérique) entre la clé privée et son certificat public de paire fait en sorte que ce système fonctionne. Grâce à cette relation, une connexion de confiance est établie.

Note

Tout au long de ce document, nous étudierons les clés privées et les certificats publics SSL. D'un point de vue technique, les deux peuvent être appelés clés (clés publiques et privées). Cependant, la convention, au sujet de SSL, est de faire référence à la moité publique d'une paire de clés SSL (ou ensemble de clés) en tant que le certificat SSL public.
L'infrastructure SSL d'une organisation est en général composée des clés et des certificats SSL suivants :
  • La clé privée et le certificat public SSL CA (Certificate Authority) — généralement seulement une paire de valeurs générée par organisation. Le certificat public est signé numériquement par sa clé privée. Le certificat public est distribué à chaque système.
  • La clé privée et le certificat public SSL du serveur Web — une paire de valeurs par serveur d'applications. Le certificat public est signé numériquement par sa clé privée et la clé privée SSL CA. Nous faisons souvent référence à l'ensemble de clés d'un serveur Web. En effet, une requête de certificat SSL intermédiaire est générée. Les détails de l'utilisation de cette requête ne sont pas importants dans le cas présent. Les trois sont déployés sur un serveur RHN.
Voici un scénario : si vous avez un RHN Satellite Server et cinq RHN Proxy Server, vous générerez une paire de clés SSL CA et six ensembles de clés SSL du serveur Web. Le certificat SSL CA public est distribué à tous les systèmes et utilisé par tous les clients pour établir une connexion avec leurs serveurs supérieurs respectifs. Chaque serveur possède son propre ensemble de clés SSL qui est lié spécifiquement au nom d'hôte de ce serveur et généré à l'aide de sa propre clé SSL privée et de la clé SSL CA privée. Cela établit une association vérifiable numériquement entre le certificat SSL public du serveur Web et la paire de clé SSL CA et la clé privée du serveur. L'ensemble de clés du serveur Web ne peut pas être partagé avec d'autres serveurs Web.

Important

La partie la plus critique de ce système est la paire de clés SSL CA. De cette clé privée et de ce certificat public, un administrateur peut régénérer tout ensemble de clés SSL du serveur Web. Cette paire de clés SSL CA doit être sécurisée. Il est hautement recommandé que, une fois que l'infrastructure SSL entière de serveurs est configurée et en cours d'exécution, vous archivez le répertoire de construction SSL généré par cet outil et/ou les installateurs sur un média séparé, écrivez le mot de passe CA et mettez en sécurité le média et le mot de passe.