Documentation

Gestion de la PKI interne

La PKI interne est configurable depuis l’onglet « PKI » de la GUI.

admin-gestion-pki-interne-img-1

Lors de l’installation, Vulture génère deux certificats :

  • Un certificat de type X509 qu’il associe automatiquement à ses interfaces réseaux et à la base de données MongoDB
  • Un certificat racine auto-signé (son nom est suivi d’une étoile dans la liste).

Vulture propose dans ce menu :

La création de certificats signés par l’AC Interne de Vulture:

admin-gestion-pki-interne-img-2

  • Common Name : Nom du certificat.
  • Organisation : Nom de l’organisation.
  • Organizationnal Unit : Nom de l’unité organisationnelle.
  • Country : Acronyme de 2 lettres pour identifier le pays (exemple: FR).
  • State or Region :L’état ou la région.
  • Locality : La localité.

Ces certificats sont signés par l’autorité de certification interne de Vulture. Ils peuvent être assignés aux interfaces TLS des applications, à des fins de tests notamment (i est en effet préférable d’utiliser des certificats signés par des autorités de certification de confiance - voir ci-dessous).

La signature de demande de certificat (CSR) par l’AC Interne de Vulture:

admin-gestion-pki-interne-img-3

Il suffit de copier / coller la CSR et de cliquer sur “Save”. Cela sert notamment à signer de manière décentralisée des certificats utilisateurs.

L’importation de certificats tiers

Il est possible d’importer un certificat afin de l’utiliser dans Vulture, par exemple pour créer des profils d’applications SSL.

admin-gestion-pki-interne-img-4

  • X509 PEM Certificate : Contenu du certificat au format PEM
  • X509 PEM Private Key : Contenu de la clef privée au format PEM
  • X509 Certificate chain file : Contenu de la chaîne de certification associée au certificat, au format PEM

Si la clé privée est chiffrée, Vulture demandera de saisir la passphrase associée, uniquement pour valider que la passphrase est correcte. Il stockera ensuite le fichier sous sa forme chiffrée:

admin-gestion-pki-interne-img-5

Attention: Si une clé privée chiffrée est associée à une interface d’écoute de Vulture, l’administrateur sera invitée à saisir la passphrase pour toute opération d’arrêt / démarrage de l’interface. A noter que l’interface ne démarrera pas automatiquement en cas de redémarrage du noeud Vulture: Une intervention manuelle sera toujours nécessaire pour saisir la passphrase attendue.

Cliquer sur Save pour enregistrer le certificat.

La gestion des certificats de confiance

Vulture permet l’import de certificats de confiance pour vos applications TLS (cf. Création d’une application). La gestion de ces certificats se déroule dans l’onglet “Trusted CAs” de la gestion de la PKI interne.

admin-gestion-pki-interne-img-6

Pour importer un nouveau certificat de confiance, il suffit de cliquer sur le bouton “IMPORT TRUSTED CA”

admin-gestion-pki-interne-img-7

Notes :

  • Le “Common Name” rentré par l’utilisateur sera uniquement utilisé par la GUI Vulture, il ne serat pas utilisé pour la vérification du nom.
  • Il est important de respecter la syntaxe d’import sous peine de créer des certificats erronés.