Certificat
Clé privée / clé publique dans une PKI
Chaque certificat repose sur une paire de clés asymétriques :
- Clé privée → secrète, jamais diffusée
- Clé publique → incluse dans le certificat, distribuée
---
Structure d’un certificat
Un certificat X.509 contient :
- la clé publique
- l’identité (CN, organisation…)
- l’émetteur (CA)
- la signature de la CA
⚠️ La clé privée n’est jamais dans le certificat
---
Cas par cas dans la PKI
Root CA
- clé privée root → ultra sensible, offline
- certificat root → déployé chez les clients
👉 contient la clé publique root
---
Autorité intermédiaire
- clé privée intermédiaire → utilisée pour signer
- certificat intermédiaire → distribué
👉 signé par la root
---
Certificats applicatifs
- clé privée → utilisée par ton appli ou serveur
- certificat → distribué ou embarqué
---
Schéma global
ROOT CA
- clé privée (secret, offline)
- certificat (public, chez client)
↓ signe
INTERMEDIATE CA
- clé privée (protégée)
- certificat (public)
↓ signe
CERTIFICAT APPLICATIF
- clé privée (dans ton appli ou serveur)
- certificat (public)
---
Ce que tu dois garder secret
Critique :
- clé privée root
- clé privée intermédiaire
- clé privée des certificats applicatifs
👉 Si une clé fuit → révocation immédiate
---
Ce que tu peux diffuser
Sans problème :
- certificat root
- certificat intermédiaire
- certificats signés
- CRL
---
Point important
Un certificat est public par nature
La sécurité repose uniquement sur : → la protection des clés privées
---
Exemple concret
Lors de la signature d’une application :
- tu utilises ta clé privée
- le client vérifie avec la clé publique
- puis remonte la chaîne jusqu’à la root
---
Résumé
- Oui → paire clé privée / clé publique
- Le certificat = clé publique + identité + signature
- La sécurité = protection des clés privées
- Le reste peut être distribué librement