**Documentation Technique – Mise en place d’une PKI interne**

**1) Contexte du projet**

Dans le cadre de mon alternance de BTS, j’ai participé à la conception et au déploiement d’une infrastructure à clés publiques (PKI – Public Key Infrastructure) interne.

Objectifs :

- Sécuriser les échanges internes (authentification, chiffrement)
- Mettre en place une gestion centralisée des certificats
- Assurer la confiance entre les entités du SI
- Répondre aux besoins de sécurité de l’entreprise

**2) Architecture de la PKI**

L’infrastructure repose sur une architecture hiérarchique simple :

Composants principaux :
- Autorité de Certification Racine (Root CA)
 > - Certificat auto-signé
 > - Hors ligne (sécurité maximale)
 > - Sert à signer l’AC intermédiaire

- Autorité de Certification Intermédiaire (Issuing CA)
 > - En ligne
 > - Délivre les certificats aux clients
 > - Signée par la Root CA

- Dépôt de certificats (Repository)
 > Stockage des certificats
 > Publication des listes de révocation (CRL)

- Liste de Révocation (CRL)
 > Liste des certificats invalidés
 > Mise à jour régulière

- Client (poste utilisateur)
 > Génère une CSR
 > Reçoit et utilise son certificat

**3) Choix techniques**

- Système : Windows Server 

- Outil PKI :
 > Active Directory Certificate Services

- Stockage :
 > Partage réseau / HTTP / LDAP

- Algorithmes :
 > 4096 bits
 > SHA-256

**4) Mise en œuvre**

- 4.1 Installation de la Root CA

 > - Installation sur machine isolée
 > - Génération de la clé privée
 > - Création du certificat auto-signé
 > - Export sécurisé du certificat public

- 4.2 Mise en place de l’Issuing CA

 > - Installation sur serveur en ligne
 > - Génération d’une CSR
 > - Signature par la Root CA
 > - Import du certificat signé

- 4.3 Configuration de la CRL

 > - Définition du point de distribution (CDP)
 > - Publication régulière
 > - Accessibilité via HTTP ou partage réseau

- 4.4 Mise en place du dépôt de certificats
 - Création d’un répertoire central
 - Publication :
 > - certificats CA
 > - certificats utilisateurs
 > - CRL

**5) Processus de délivrance d’un certificat**

- Le client génère une CSR (Certificate Signing Request)
- La CSR est envoyée à l’Issuing CA
- L’Issuing CA valide la demande
- Le certificat est généré et signé
- Le certificat est :
> - remis au client
> - publié dans le dépôt

**6) Sécurité mise en place**

- Root CA hors ligne
- Accès restreint aux serveurs PKI
- Protection des clés privées
- Durée de vie des certificats maîtrisée
- Publication de CRL pour gérer les révocations

**7) Tests et validation**

- Vérification de la chaîne de certification
- Test d’installation sur poste client
- Test de révocation :
> - certificat invalide détecté via CRL
- Test d’accès au dépôt

**8) Compétences mobilisées**
- Cryptographie et certificats X.509
- Administration système
- Sécurité des systèmes d’information
- Gestion de projet
- Documentation technique

**9) Conclusion**

Ce projet a permis de mettre en œuvre une infrastructure de sécurité complète, répondant aux besoins de confiance et d’authentification du système d’information. Il constitue une base évolutive vers des solutions plus avancées.