Gestion certificats¶

Ce mémo fait le point sur la problèmatique des certificats sur les modules EOLE.

Usage des certificats sur les modules EOLE¶

Sur les modules EOLE, les certificats sont utilisés pour identifier et authentifier différents services :

• ead ;
• eole-sso ;
• sites et applications web desservies par apache ;
• transmission des journaux d'application.

Deux modes de fonctionnement¶

Deux modes d'utilisation des certificats sont proposés par les modules EOLE.
Un mode intégré à une pki reconnue (dont les certificats racines sont intégrés aux navigateurs) et un mode indépendant reposant sur un certificat racine local ou non reconnu.

Les modes peuvent être utilisés concomitamment. Par exemple, on peut avoir un certificat intégré à une pki pour les sites desservis par apache et un certificat signé "localement" pour la transmission des journaux d'application.

Mode indépendant¶

C'est le mode par défaut, mis en place à l'instanciation du serveur.
Ce mode permet de fonctionner en attendant la signature de la clé publique du module par une pki, celle de Toulouse dans le cas des établissements scolaires du second degré par exemple.

Les certificats applicatifs permettent les mêmes usages qu'en mode intégré.
Par contre, en l'absence d'une pki, il n'y a pas de gestion des listes de révocations.
Les certificats applicatifs et certificats racines doivent être acceptés manuellement.

Mode intégré¶

Extensions des certificats¶

Certificat racine¶

Certificats applicatifs¶