Un projet de déploiement d’une infrastructure à clé publique – ou PKI (Public Key Infrastructure) – pour générer des certificats numériques sans limite de quantité, concerne les organisations de toutes tailles.
La complexité du projet étant directement dépendante du niveau de confiance ciblé, il est recommandé de démarrer avec un niveau de confiance standard, puis au fil des cas d’usages qui s’accumulent, passer à un niveau de confiance supérieur : acquisition d’un HSM (Hardware Security Module) pour protéger ses clés privées d’AC, plus grand découpage des rôles, etc.
PKI interne : mode SaaS ou On-Premise ?
Déployer une PKI On Premise implique de mettre en œuvre une brique dans votre système d’information capable d’émettre tous les certificats nécessaires, sans limite de quantité, pour sécuriser les accès, authentifier les collaborateurs, signer électroniquement des documents, etc.
La PKI interne, installée dans l’infrastructure d’une organisation, représente à la fois une contrainte technique d’exploitation et une contrainte organisationnelle de séparation des rôles et de respect des processus. Sa gestion nécessite de s’appuyer à minima sur deux rôles distincts : une équipe d’exploitation pour le maintien en condition opérationnelle de la solution PKI, et une équipe opérationnelle d’administration pour la gestion quotidienne des émissions et révocations des certificats.
La PKI en mode SaaS permet de s’affranchir de la contrainte technique d’exploitation pour ne garder que la gestion organisationnelle, pierre angulaire d’une solution de PKI. Toutefois, elle implique une externalisation d’un des deux rôles, ce qui, pour certaines organisations, peut être rédhibitoire. Sa mise en œuvre nécessite un budget moins élevé que la mise en place d’une PKI On Premise. Elle est à privilégier si le nombre de certificats à gérer est limité.
La PKI Microsoft est-elle suffisante ?
Si la question de migrer ou non votre PKI Microsoft se pose, c’est que la réponse est très certainement déjà « oui » ! La PKI Microsoft n’est pas une PKI permettant d’adresser l’ensemble des usages d’une organisation. En effet, certaines fonctions de la PKI Microsoft ne sont pas adaptées (comme l’autorité d’enregistrement ou l’autorité de séquestre) et peuvent manquer de souplesse d’utilisation.
Parmi les alternatives possibles à la PKI Microsoft :
Opter pour une migration vers une PKI EJBCA
La migration de la PKI Microsoft vers une solution PKI EJBCA est une procédure courante. L’ensemble des fonctionnalités de la PKI Microsoft sont présentes dans la PKI EJBCA, et cette dernière vous apportera de nombreuses fonctionnalités supplémentaires :
- Gestion fine des autorisations d’accès ;
- Paramétrage complet de vos gabarits de certificats pour les adapter à vos besoins ;
- Support des protocoles d’enrôlement ACME, SCEP, CMP, EST ;
- Séparation de l’autorité d’enregistrement de l’autorité de certification pour le respect d’architecture 3-tiers ;
- Interface web adaptée à tous les navigateurs.
Choisir un renforcement de sa gestion de certificats, grâce à une solution telle que BerryCert
Si la migration de PKI n’est pas une option et si vous recherchez une gestion fine de vos certificats, une solution telle que BerryCert vous permettra de renforcer votre PKI tout en vous proposant :
- Une découverte de l’ensemble du parc de certificats ;
- Une gestion centralisée et unifiée de la PKI (interne ou externe) ;
- Une automatisation de la gestion des certificats sur vos applications
En résumé
La PKI interne d’entreprise en mode On Premise convient surtout lorsqu’il est question d’une grande volumétrie de certificats. Son coût de mise en œuvre est supérieur à celui d’une PKI en SaaS mais cette option ouvre la possibilité de générer des certificats sans limite de quantité.
Opter pour un projet PKI en interne est un projet complexe. Il est donc préférable de faire appel à un expert pour choisir la solution la plus adéquate en fonction de votre existant informatique, vos enjeux et vos besoins, tout en bénéficiant d’un accompagnement pour sa mise en production.
