L'utilisation des certificats à la DR15 Journées Trimestrielles des RSI 24/09/01 Roland Dirlewanger rd@dr15.cnrs.fr
Actions de la DR15 dans l'expérience pilote Migration des actions menées depuis mars 2000 dans le cadre de CNRS-Test services WWW aux gestionnaires, directeurs d'unités, Intranet, etc. sécurisation de la messagerie (IMAPS, SMTP/TLS, Webmail) Distribution de certificats dans tous les laboratoires formation et support aux correspondants en NTIC support aux administrateurs systèmes But : montrer que les certificats sont un moyen homogène d'authentification pour tout service en ligne (laboratoire, délégation, application nationale) JT 24-25/09/2001 certificats d'authentification
certificats d'authentification Les réalisations (1) Formation des correspondants en technologie de l'information (CTI) support de cours de formation initiale (novembre 2000) installation, configuration des outils de messagerie et navigation introduction aux certificats, installation d'un certificat support de cours sur CA CNRS (juin 2001) demande, validation, installation de certificats CNRS Mécanisme de demande d'accès aux services authentifiés demande par page WW authentifiée validation par personne de confiance JT 24-25/09/2001 certificats d'authentification
certificats d'authentification Les réalisations (2) Services WWW Intranet DR15 accès à toutes les applications nationales sans mot de passe (Labintel, Infocentre, Intranet SG, Numélec, ...) pour les gestionnaires d'unité historique (format PDF), commandes non soldées, attributions de crédits, retours Xlab pour les directeurs d'unité affichage des primes semestrielles des agents du labo, saisie des profils de poste pour tous état des paiements des missions sur CAC demande de bon de transport pour missions sur CAC accès sans mot de passe à des applications nationales (Labintel Consultation, RTM) JT 24-25/09/2001 certificats d'authentification
certificats d'authentification Les réalisations (3) Authentification de la messagerie accès sécurisés pour postes mobiles accès aux boîtes à lettres via IMAP/SSL envoi de message par SMTP/STARTTLS règles anti-relais utilisent l'authentification par certificat accès sécurisés au Webmail chiffrement de toute la session par SSL authentification par mot de passe Signature électronique des obstacles : migration depuis Eudora, absence de parapheur électronique abandon au profit de "visas électroniques" sur pages WWW JT 24-25/09/2001 certificats d'authentification
Bilan de l'expérimentation (1) L'autorité de certification CNRS opérationnelle après quelques réglages et correctifs initiaux les rares anomalies sont plutôt du côté des clients (Netscape, MS IE) quelques points à améliorer : pas de support pour certaines plates-formes (MS IE sur Mac, Opera, ...) nécessite Netscape pour valider des certificats procédure d'installation des autorités de certification trop complexe cloisonnement des autorités de certification (recherche du certificat d'un utilisateur => recherche pour chaque autorité) multiplication des autorités de certification JT 24-25/09/2001 certificats d'authentification
Bilan de l'expérimentation (2) La distribution des certificats dans les laboratoires pour les CTI la relative complexité de la procédure a été surmontée malgré des profils très disparates (gestionnaire, informaticien, chercheur) et des motivations variées la formation indispensable, elle doit être adaptée selon le profil pour les utilisateurs procédure simple auto-guidée difficultés : chargement des autorités de certification, dysfonctionnement lors de l'expiration des listes de révocation JT 24-25/09/2001 certificats d'authentification
certificats d'authentification Conclusion Expérience pilote à la DR15 a montré : l'authentification des pages WWW par certificats est souple, efficace, peu difficile à mettre en œuvre, les outils pour la diffusion sont au point (~ 45 labos opérationnels) Mais l'effort de formation des correspondants n'est pas négligeable seule l'existence de nombreux services justifiera cet investissement JT 24-25/09/2001 certificats d'authentification