Liste des fichiers des certificats
- xxx.key : la clef privée du certificat
- xxx.csr : la demande de certificat
- xxx.cer / xxx.crt : le certificat lui-même
- xxx.pem : un conteneur pouvant contenir le certificat et/ou la clef privée et/ou d’autres certificats
- xxx.p7b : un conteneur pouvant contenir le certificat et/ou d’autres certificats
- xxx.pfx / xxx.p12 : un conteneur pouvant contenir le certificat et la clef privée
Pour davantage de détails sur les fichiers, voir l’article correspondant : les conteneurs des certificats.
Durée et mode de conservation des fichiers
La clef privée
- durée de conservation : 1 à 2 ans maximum ; corollaire : si vous renouvelez votre certificat tous les 2 ans, changez la clef à chaque fois.
- méthode de conservation : C’est le fichier le plus important, et privé. Ce fichier est forcément stocké sur le serveur pour que le chiffrement fonctionne. Les droits sur ce fichier doivent être restreints afin que personne d’autre ne puisse le lire. Ce fichier sert pour déchiffrer chaque flux chiffré reçu, et sert également à révoquer le certificat s’il a été compromis. Il faut sauvegarder ce fichier tant qu’il est en fonction.
Le certificat
- durée de conservation : c’est comme les yaourts, c’est écrit sur l’étiquette 🙂 On observe habituellement des durées de 1 à 2 ans, avec quelques exceptions à 3 mois ; cette durée est dictée par l’autorité de certification qui signe le certificat.
- méthode de conservation : le fichier est public et il est forcément stocké sur le serveur pour que le chiffrement fonctionne. Il faut sauvegarder ce fichier tant qu’il est en fonction.
Le CSR
- durée de conservation : aucune. Ce fichier est généré dans le but de demander un nouveau certificat ou un renouvellement d’un certificat existant. Dès que cette demande est soumise à l’autorité de certification, ce fichier ne sert plus à rien et peut être effacé.
- méthode de conservation : ce fichier contient les mêmes informations que le certificat, donc tant que le fichier n’a pas été supprimé, on le conserve avec zéro restriction d’accès car il ne contient que des données publiques.
Le fichier de configuration openSSL xxx.cnf / la configuration du certificat
Tiens, on n’avait pas parlé de ce fichier auparavant ! Le CSR n’est pas à sauvegarder. En revanche, la méthode de génération du CSR est importante, car il faut pouvoir la reproduire plusieurs fois !
Il y a plusieurs méthodes et outils pour générer un CSR. Les informations les plus communément personnalisées dans un CSR sont :
- le DN (« Distinguished Name ») : c’est la structure qui contient notamment le CN (« Common Name », le nom du certificat), et certainement les « C / O / ON / L / E » (« Country / Organization / Oganizational Unit / Locality / Email ») ;
- le SAN (« Subject Alternative Name ») : c’est la liste des objets à protéger (habituellement, la liste des adresses des sites Web en HTTPS).
Ces données peuvent être :
- écrites dans un fichier de configuration pour le logiciel « openSSL » ⇒ il faut sauvegarder ce fichier
- tapées directement en ligne de commande en tant qu’arguments à la commande « openssl » ⇒ il faut sauvegarder cette ligne de commande (un copier-coller de la commande dans la documentation du projet ?)
- tapées interactivement dans un outil quelconque ⇒ chaque information tapée doit être présente dans la documentation du projet
Les conteneurs PEM / P7B / PFX
Il n’y a aucune règle spécifique concernant les conteneurs. Les seules règles à observer sont celles listées ci-dessus, et donc elles dépendent de ce qui est stocké dans les conteneurs (clef privée ou certificat public).