7.1. Vue d’ensemble de la gestion des certificats

7.1.1. Liste des suites cryptographiques & protocoles supportés par Vitam

Il est possible de consulter les ciphers supportés par Vitam dans deux fichiers disponibles sur ce chemin: ansible-vitam/roles/vitam/templates/

  • Le fichier jetty-config.xml.j2
    • La balise contenant l’attribut name=”IncludeCipherSuites” référence les ciphers supportés
    • La balise contenant l’attribut name=”ExcludeCipherSuites” référence les ciphers non supportés
  • Le fichier java.security.j2
    • La ligne jdk.tls.disabledAlgorithms renseigne les ciphers désactivés au niveau java

Avertissement

Les 2 balises concernant les ciphers sur le fichier jetty-config.xml.j2 sont complémentaires car elles comportent des wildcards (*) ; en cas de conflit, l’exclusion est prioritaire.

Voir aussi

Ces fichiers correspondent à la configuration recommandée ; celle-ci est décrite plus en détail dans le DAT (chapitre sécurité).

7.1.2. Vue d’ensemble de la gestion des certificats

../_images/pki-certificats.svg

Vue d’ensemble de la gestion des certificats au déploiement

7.1.3. Description de l’arborescence de la PKI

Tous les fichiers de gestion de la PKI se trouvent dans le répertoire deployment de l’arborescence Vitam:

  • Le sous répertoire pki contient les scripts de génération des CA & des certificats, les CA générées par les scripts, et les fichiers de configuration d’openssl

  • Le sous répertoire environments contient tous les certificats nécessaires au bon déploiement de Vitam:

    • certificats publics des CA
    • Certificats clients, serveurs, de timestamping, et coffre fort contenant les mots de passe des clés privées des certificats (sous-répertoire certs)
    • Magasins de certificats (keystores / truststores / grantedstores), et coffre fort contenant les mots de passe des magasins de certificats (sous-répertoire keystores)
  • Le script generate_stores.sh génère les magasins de certificats (keystores), cf la section Fonctionnement des scripts de la PKI

../_images/arborescence_pki.svg

Vue l’arborescence de la PKI Vitam

Le fichier ci-dessus est aussi disponible au format xmind arborescence_pki.xmind

7.1.4. Description de l’arborescence du répertoire deployment/environments/certs

../_images/arborescence_certs.svg

Vue détaillée de l’arborescence des certificats

Le fichier ci-dessus est aussi disponible au format xmind arborescence_certs.xmind

7.1.5. Description de l’arborescence du répertoire deployment/environments/keystores

../_images/arborescence_keystores.svg

Vue détaillée de l’arborescence des keystores

Le fichier ci-dessus est aussi disponible au format xmind arborescence_keystores.xmind

7.1.6. Fonctionnement des scripts de la PKI

La gestion de la PKI se fait avec 3 scripts dans le répertoire deployment de l’arborescence Vitam:

  • pki/scripts/generate_ca.sh : génère des autorités de certifications (si besoin)

  • pki/scripts/generate_certs.sh : génère des certificats à partir des autorités de certifications présentes (si besoin)

    • Récupère le mot de passe des clés privées à générer dans le vault environments/certs/vault-certs.yml
    • Génère les certificats & les clés privées
  • generate_stores.sh : génère les magasins de certificats nécessaires au bon fonctionnement de Vitam

    • Récupère le mot de passe du magasin indiqué dans environments/group_vars/all/vault-keystore.yml
    • Insère les bon certificats dans les magasins qui en ont besoin

Si les certificats sont créés par la PKI externe, il faut donc les positionner dans l’arborescence attendue avec le nom attendu pour certains (cf l’image ci-dessus).