Table des matières
Ce document est obsolète et s'adressait aux RSSI dans le cadre de feu l'IGC du CRU dont l'exploitation s'est arrêtée en 2009
Ce document ne vise pas à produire un guide sur la place des certificats (tout type d'IGC confondu) dans la politique de sécurité de vos établissements. Une telle ambition conduirait inévitablement à un document trop général dont on ne déduirait que trop peu de conclusions pratiques. Pour obtenir des informations sur les IGC et les certificats en général on peut se reporter à la page dédiée, pour des conseils sur le déploiement de certificats à la page conseils
Ce document vise plus modestement à expliquer les devoirs des RSSI relatifs aux certificats déployés par l'igc du CRU. La définition de ces responsabilités est directement déduite de la politique de Certification de l'IGC du CRU.
Pour tous les RSSI
- Les certificats de serveurs émis par le CRU ne peuvent être demandés que par les RSSIs . Il est donc possible que vous soyez sollicité par des administrateurs de serveur de votre établissement pour faire une demande de certificat serveur auprès du CRU. Cette demande de certificat n'est possible que si vous êtes vous-même titulaire d'un certificat ac-utilisateur ou ac-utilisateur-plus. Tout RSSI peut obtenir un tel certificat.
- Un petit nombre de personnes dans votre établissement peut être titulaire de certificats ac-utilisateur ou ac-utilisateur-plus. Ces personnes peuvent vous solliciter pour de l'aide ou de l'assistance sur cet outil de sécurisation. Si vous suspectez la compromission de la clé privée associée à un tel certificat (par exemple suite à la compromission d'un poste stockant un certificat et sa clé privée associée), il est de votre devoir de demander sa révocation en suivant les instructions disponibles sur la page de référence de l'AC concernée.
- Les personnes demandant un certificat ac-utilisateur-plus doivent le faire en utilisant une clé cryptographique (USB ou carte à puce) sur laquelle est générée leur clé privée. Vous devrez être sollicité par ces personnes pour assister à leur demande de certificat puis attester des conditions de la demande de certificat. Vous ne pouvez pas produire une attestation pour vous même car cette mesure vise en particulier à protéger le demandeur contre ses propres erreurs de manipulation (dans ce cas faire appel au segond RSSI de l'établissement). Les vérifications qui vous sont demandées portent d'une part sur l'identité du demandeur, d'autre part sur le fait que les clés sont bien générées sur le support cryptographique (et non sur le disque dur du poste de travail). Votre présence lors de la génération de ces clés est donc indispensable. Votre attestation devra nous parvenir sous forme d'un message signé avec votre certificat selon le modèle décrit sur http://igc.cru.fr/ac-utilisateur-plus.
Pour les RSSIs appartenant à un établissement ayant opté pour une délégation d'autorité d'enregistrement
La délégation d'autorité d'enregistrement permet à un établissement de délivrer des certificats à tout ou partie de son personnel. Des informations sont disponibles sur le site du CRU.
Dans ce cas les RSSIs ont les mêmes obligations que précedemment mais doivent de plus :
- participer au projet qui justifie le déploiement de certificat ;
- avoir pris connaissance de la Politique de Certification de l'IGC du CRU et de la Déclaration des Pratiques d'Enregistrement de l'établissement.
Pages de référence
-
-
-
- La liste RSSI http:listes.recherche.gouv.fr/wws/info/rssi
* L'accès aux services de l'IGC du cru http:igc.cru.fr et le chargement des certificats et des CRL des différentes AC ac-racine, ac-utilisateur, ac-utilisateur-plus, ac-serveur.
- La politique de certification http:igc.cru.fr/references/pc.pdf
* La délégation d'autorité d'enregistrement http:igc.cru.fr/delegation