« Certificat » : différence entre les versions

Modification suivante →

VisuelWikicode

Version du 4 avril 2026 à 10:09

Clé privée / clé publique dans une PKI

Chaque certificat repose sur une paire de clés asymétriques :

Clé privée → secrète, jamais diffusée
Clé publique → incluse dans le certificat, distribuée

---

Structure d’un certificat

Un certificat X.509 contient :

la clé publique
l’identité (CN, organisation…)
l’émetteur (CA)
la signature de la CA

⚠️ La clé privée n’est jamais dans le certificat

---

Cas par cas dans la PKI

Root CA

clé privée root → ultra sensible, offline
certificat root → déployé chez les clients

👉 contient la clé publique root

---

Autorité intermédiaire

clé privée intermédiaire → utilisée pour signer
certificat intermédiaire → distribué

👉 signé par la root

---

Certificats applicatifs

clé privée → utilisée par ton appli ou serveur
certificat → distribué ou embarqué

---

Schéma global

ROOT CA
  - clé privée (secret, offline)
  - certificat (public, chez client)

        ↓ signe

INTERMEDIATE CA
  - clé privée (protégée)
  - certificat (public)

        ↓ signe

CERTIFICAT APPLICATIF
  - clé privée (dans ton appli ou serveur)
  - certificat (public)

---

Ce que tu dois garder secret

Critique :

clé privée root
clé privée intermédiaire
clé privée des certificats applicatifs

👉 Si une clé fuit → révocation immédiate

---

Ce que tu peux diffuser

Sans problème :

certificat root
certificat intermédiaire
certificats signés
CRL

---

Point important

Un certificat est public par nature

La sécurité repose uniquement sur : → la protection des clés privées

---

Exemple concret

Lors de la signature d’une application :

tu utilises ta clé privée
le client vérifie avec la clé publique
puis remonte la chaîne jusqu’à la root

---

Résumé

Oui → paire clé privée / clé publique
Le certificat = clé publique + identité + signature
La sécurité = protection des clés privées
Le reste peut être distribué librement

@@ Ligne 1 : / Ligne 1 : @@
+== Clé privée / clé publique dans une PKI ==
-Pour certificat on a :
+Chaque certificat repose sur une '''paire de clés asymétriques''' :
-Chaque certificat repose sur une paire de clés asymétriques :
-clé privée → secrète, jamais diffusée
+* '''Clé privée''' → secrète, jamais diffusée
-clé publique → incluse dans le certificat, distribuée
+* '''Clé publique''' → incluse dans le certificat, distribuée
-# Structure d’un certificat
-Un certificat X.509 contient notamment :
+---
-la clé publique
+== Structure d’un certificat ==
-l’identité (CN, organisation…)
-l’émetteur (CA)
-la signature de la CA
-La clé privée n’est jamais dans le certificat.
+Un certificat X.509 contient :
-# Cas par cas dans ta PKI
+* la '''clé publique'''
-Root CA
+* l’identité (CN, organisation…)
-clé privée root → ultra sensible, offline
+* l’émetteur (CA)
-certificat root (public) → déployé chez les clients
+* la signature de la CA
-👉 ce certificat contient la clé publique root
+⚠️ La '''clé privée n’est jamais dans le certificat'''
-Autorité intermédiaire
+---
-clé privée intermédiaire → utilisée pour signer
-certificat intermédiaire (public) → distribué avec tes certificats
+== Cas par cas dans la PKI ==
+=== Root CA ===
+* clé privée root → '''ultra sensible, offline'''
+* certificat root → '''déployé chez les clients'''
+👉 contient la clé publique root
+---
+=== Autorité intermédiaire ===
+* clé privée intermédiaire → utilisée pour signer
+* certificat intermédiaire → distribué
 👉 signé par la root
-Certificats applicatifs (code signing, TLS…)
+---
-clé privée → utilisée par ton appli pour signer ou s’authentifier
-certificat → distribué (ou embarqué)
+=== Certificats applicatifs ===
-# Schéma global
+* clé privée → utilisée par ton appli ou serveur
+* certificat → distribué ou embarqué
+---
+== Schéma global ==
+<pre>
 ROOT CA
    - clé privée (secret, offline)
@@ Ligne 48 : / Ligne 66 : @@
    - clé privée (dans ton appli ou serveur)
    - certificat (public)
-# Ce que tu dois garder secret
+</pre>
+---
+== Ce que tu dois garder secret ==
 Critique :
-clé privée root
+* clé privée root
-clé privée intermédiaire
+* clé privée intermédiaire
-clé privée des certificats applicatifs
+* clé privée des certificats applicatifs
+👉 Si une clé fuit → révocation immédiate
-Si une de ces clés fuit :
+---
-elle doit être révoquée immédiatement
+== Ce que tu peux diffuser ==
-# Ce que tu peux diffuser
 Sans problème :
-certificat root
+* certificat root
-certificat intermédiaire
+* certificat intermédiaire
-certificats signés
+* certificats signés
-CRL
+* CRL
-# Point important souvent mal compris
+---
-Un certificat = PUBLIC par nature
+== Point important ==
-Ce n’est pas un secret.
+Un certificat est '''public par nature'''
 La sécurité repose uniquement sur :
-→ la protection des clés privées
+→ la protection des '''clés privées'''
+---
+== Exemple concret ==
+Lors de la signature d’une application :
+* tu utilises '''ta clé privée'''
+* le client vérifie avec '''la clé publique'''
+* puis remonte la chaîne jusqu’à la root
-# Exemple concret
+---
-## f
-# g
-Quand tu signes une appli :
-# test
-tu utilises ta clé privée
-le client vérifie avec la clé publique dans le certificat
-puis remonte la chaîne jusqu’à la root
-. Résumé
-Oui → il y a toujours une paire privé/public
-Le certificat = clé publique + identité + signature
-La sécurité = protection des clés privées uniquement
-Tout le reste peut être distribué librement
-Avoir une CARoot Hors ligne
-une Ca intermediaire qui aura les info pour
-. url certificat intermediare
-. url revocationlis (CRL)
+== Résumé ==
-[[Categories:Informatique]]
+* Oui → paire clé privée / clé publique
+* Le certificat = '''clé publique + identité + signature'''
+* La sécurité = '''protection des clés privées'''
+* Le reste peut être distribué librement