PKI
PUBLIC KEY INFRASTRUCTURE
PROF. TBATOU ZAKARIAE
2025 - 2026
�SÉANCE
PKI
2
�04 DÉFINITION
L'infrastructure à clé publique peut être définit par un ensemble de
composants (ordinateurs, équipements cryptographique, systèmes,
applications, procédures, fonctions, etc.) basés sur la cryptographie à clé
publique afin de gérer les clés et de délivrer les certificats numériques utilisés
par les services de sécurité.
3
�04 DÉFINITION
Un certificat numérique (appelé également certificat électronique ou
certificat à clé publique) est utilisé pour authentifier une personne et de
chiffrer les échanges. Ce certificat est signé par un tiers de confiance.
4
�04 SERVICES FOURNIT PAR L'INFRASTRUCTURE À
CLÉ PUBLIQUE (PKI)
La PKI permet
▪ Vérification de l’identité des entités
▪ Création et gestion des certificats
▪ Validation et appartenance des certificats
▪ Révocation et recouvrement des clés
▪ Renouvellement et publication des certificats
5
�04 EXEMPLES D’UTILISATION DE
CERTIFICATS ÉLECTRONIQUES
▪ Serveur web (voir TLS et X.509) ;
▪ Courrier électronique (voir OpenPGP) ;
▪ Poste de travail (voir IEEE 802.1X) ;
▪ Réseau privé virtuel (VPN, voir IPsec) ;
▪ Secure Shell (SSH), TLS ;
▪ Documents électroniques
6
�04 COMPOSANTS D’UNE PKI
▪ Authorité de certification (CA): C'est l'autorité décisionnelle et de confiance dans le
processus de certification faisant d'elle l'entité le plus
critique (signe les demandes de certificat et les révocations de ces derniers)
▪ Authorité d’enregistrement (RA): vérifie l'identité du demandeur de certificat et s'assure
qu'il ne s'agit pas d'une usurpation d'identité. Elle constitue l'interface entre l'utilisateur
et la CA.
▪ Authorité de dépot (Repository): stocke l'ensemble des certificats valides et révoqués.
L'ensemble des certificats des clés publiques émis par la CA est mis à disposition des
utilisateurs par l'autorité de dépôt
▪ Authorité de recouvrement: s'occupe de protéger des clés privées et assure une
récupération de clé(s) ultérieure(s).
7
�04 COMPOSANTS D’UNE PKI
8
�04 PROCESS
9
�04 DIGITAL CERTIFICATES AND CAS
Retrieving CA Certificates
Submitting Certificate
Requests to the CA
10
�04 CONCEPT
▪ L’émetteur est «l’autorité de confiance» qui signe le certificat, après avoir
vérifié l’identité du détenteur
▪ Le détenteur est l’entité qui «possède» la clé publique (et la clé privée
associée)
11
�04 PKI TOPOLOGIES
certificat
subordonné
Une Root CA au
sommet
Plusieurs CA
interconnectées
12
�04 VALIDATION DE CERTIFICAT
▪ OCSP (Online Certificate Status Protocol) désigne un protocole utilisé pour
vérifier en temps réel la validité d'un certificat numérique (SSL/TLS), plutôt
qu'une certification professionnelle comme l'OSCP
▪ Certificat revocation (RCL)
▪ CPS (Certificat Practrice Statement): Déclaration des pratiques de
certification rédigé par une Autorité de certificat (AC)
13
�04 FORMATS ET TYPES DE CERTIFICAT
▪ X509 PKIX
▪ PGP
▪ SPKI/SDSI
14
�04 CERTIFICAT X.509
Un certificat X.509 contient :
▪ L’organisme émetteur du certificat
▪ Le détenteur du certificat
▪ Les dates de validité
▪ Les dates du détenteur
▪ La clé publique
▪ La signature
15
�04 CYCLE DE VIE D'UN CERTIFICAT
16
�04 SAN DANS UN CERTIFICAT
NUMÉRIQUE
SAN (Subject Alternative Name): Le SAN est une extension du certificat
numérique. Il permet d’associer plusieurs identités à un même certificat.
Ces identités peuvent être :
• des noms de domaine (DNS)
• des adresses IP
• des adresses e-mail
• des URI
17
� MISE EN PRATIQUE
EXERCICE : ATELIER PKI
18
�SÉANCE 4
PKI 19