FLASH INFORMATIQUE FI



Un nouveau certificat pour le serveur RADIUS




Jacques VIRCHAUX


Actuellement l’EPFL possède sa propre autorité de certification (CA = Certification Authority) pour générer des certificats personnels. Elle possède donc sa propre infrastructure PKI (Public Key Infrastructure) reconnue par elle-même uniquement, comme cela se pratique très souvent dans des entreprises.

Le mécanisme d’authentification

Pour s’authentifier lors d’une connexion WPA ou VPN, le client contacte le serveur. Le serveur va présenter son certificat de serveur, signé par une CA connue du client qui lui permet de savoir qu’il parle bien avec radius.epfl.ch. Ensuite l’authentification par le serveur certifié peut s’établir.

La reconnaissance de la CA

Jusqu’à présent, c’était la CA de l’EPFL qui signait tous les certificats des serveurs de l’EPFL. Cela impliquait de charger explicitement sur le client le certificat EPFL (contenant sa clé publique) pour la reconnaissance de cette CA. Depuis le 15 août, c’est une CA reconnue au niveau international (GTE Cyber Trust Global Root) qui a signé le nouveau certificat du serveur RADIUS. Il n’y a donc plus la nécessité (fastidieuse parfois ou même impossible sur certains PDA) de charger ce certificat EPFL, la plupart des applications reconnaissant la CA en standard. C’est avec l’aide de SWITCH qu’il a été possible d’établir une délégation d’autorité, reconnue après moult démarches administratives. Cette reconnaissance doit évidemment se payer, mais pour plusieurs certificats de serveurs centraux, le prix est acceptable comparé aux simplifications apportées côté client.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.