Public Key Infrastructure

Conception d’une PKI interne à deux niveaux pour sécuriser les services Linux, Windows et équipements réseau.

Contexte & objectifs

  • Remplacer les certificats auto-signés par une chaîne de confiance interne pérenne.
  • Séparer une Root CA hors ligne et des Sub CA opérationnelles.
  • Automatiser l’émission/renouvellement des certificats avec ACME DNS-01.
  • Distribuer la racine aux postes Windows via GPO/LDAP.

Architecture retenue

Root CA (offline)

Autorité racine isolée, utilisée uniquement pour signer les autorités intermédiaires.

Sub CA en production

Step-CA pour les usages Linux/ACME et ADCS pour les usages Windows.

Consommateurs

pfSense, TrueNAS, NGINX, Zabbix, Grafana et VMs Linux/Windows.

Réalisation technique

  • Création RootCA + SubCA (CSR, politiques, signatures).
  • Déploiement ACME interne et intégration certbot (DNS-01) pour renouvellement automatique.
  • Installation des certificats sur services critiques (reverse proxy, firewall, supervision, stockage).
  • Gestion sécurisée des clés privées et sauvegardes chiffrées sur TrueNAS.

Illustrations

Schéma PKI

Architecture PKI

Capture de configuration

Capture configuration PKI

ADCS

Configuration ADCS

Supervision des certificats

Configuration ADCS

Résultats

  • Services internes en HTTPS avec certificats valides.
  • Disparition des alertes de confiance côté navigateurs et clients.
  • Cycle de vie certificat automatisé, mieux supervisé et industrialisé.

Voir l’article source WordPress →

← Retour à la page Homelab