First page Back Continue Last page Summary Graphic
PKIX (Public Key Infrastructure X.509)
Présentation
- Groupe de travail IETF (www.ietf.org), créé en 1995
- But = Développer pour l'Internet une PKI basée sur les certificats X.509, IPKI (Internet PKI)
Composants
- Instanciation des certificats X.509v3 et des listes de révocation X.509v2 pour une infrastructure adaptée à l'Internet [RFC2459]
- Protocoles d'exploitation [RFC2559, RFC2585]
- Distribution des certificats et des listes de révocation aux systèmes qui les utilisent.
- Divers systèmes sont développés, en particulier des procédures basées sur LDAP, HTTP, FTP, et X.500.
- Protocoles de gestion [RFC2510]
- Dialogues entre les différentes entités composant la PKI
- Règles d'usage et considérations pratiques [RFC2527]
- Exigences en matière d'identification des sujets, sécurité physique, règles pour la révocation des certificats...
Notes:
Créé en 1995, le groupe PKIX a pour but de développer un ensemble de normes définissant, spécifiquement pour l'Internet, une infrastructure à clés publiques basée sur les certificats X.509. Le but de cette PKI, appelée IPKI pour Internet PKI, est de rendre possible l'utilisation de certificats X.509 par l'ensemble des protocoles et des applications du monde Internet et de faciliter l'interopérabilité entre les différents produits. Le groupe PKIX travaille à la définition des éléments suivants :
- Une instanciation des certificats X.509v3 et des listes de révocation (Certificate Revocation List, CRL) X.509v2 pour une infrastructure adaptée à l'Internet. En effet, un certificat X.509v3 est une structure de données complexe, composée de nombreux champs, et comportant de nombreuses extensions optionnelles et de nombreuses options. Cette particularité permet l'utilisation des certificats X.509 pour beaucoup de situations et d'environements mais rend difficile la création de produits interopérables. C'est pourquoi le groupe PKIX a défini, dans le RFC 2459, une instanciation particulière de la norme X.509 pour l'Internet en décrivant le contenu des certificats et la liste des extensions obligatoires et optionnelles.
- Des protocoles d'exploitation, qui permettent de distribuer les certificats et les listes de révocation aux systèmes qui les utilisent. Divers systèmes de distribution sont développés, en particulier des procédures basées sur LDAP, HTTP, FTP, et X.500.
- Des protocoles de gestion, qui permettent aux différentes entités composant la PKI (autorités de certification, possesseurs de certificats...) de dialoguer et d'échanger les informations relatives à la gestion de l'ensemble : demande de création ou de révocation de certificat, certification réciproque entre autorités de certification...
- Des règles d'usage et des considérations pratiques : exigences en matière d'identification des sujets, sécurité physique, règles pour la révocation des certificats...