5.24. Procédure d’exploitation pour la révocation des certificats SIA et Personae¶
Cette section fait référence au chapitre Intégration d’une application externe dans Vitam.
La version 1.10.0 (« R8 ») introduit une nouvelle fonctionnalité permettant la révocation des certificats SIA et Personae afin d’empecher des accès non autorisés aux API de la solution logicielle VITAM (vérification dans la couche https des CRL).
Le fonctionnement de la validation des certifcats de la solution logicielle VITAM SIA et Personae par CRL est le suivant :
L’administrateur transmet à la solution logicielle VITAM le CRL d’un CA qui a émis le certificat présent dans la solution logicielle VITAM, via le point d’API suivant
http://{{ hosts_security_internal }}:{{ vitam.security_internal.port_admin }}/v1/api/crl
Prudence
La CRL fournie doit être obligatoirement au format DER (cf. http://www.ietf.org/rfc/rfc3280.txt »>RFC 3280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile)
Exemple:
curl -v -X POST -u {{ admin_basic_auth_user }}:{{ admin_basic_auth_password }} http://{{ hosts_security_internal }}:{{vitam.security_internal.port_admin}}/v1/api/crl -H 'Content-Type: application/octet-stream' --data-binary @/path/to/crl/my.crl
Le paramètre adminUser correspond à la valeur admin_basic_auth_user déclarée dans le fichier vitam_security.yml
Le paramètre adminPassword correspond à la valeur admin_basic_auth_password déclarée dans le fichier vault-vitam.yml
- Le système va contrôler tous les certificats (collections
identity.Certificateetidentity.PersonalCertificate) émis par le IssuerDN correspondant à la CRL, en vérifiant si ces derniers sont révoqués ou non. Si c’est le cas, alors la solution logicielle VITAM positionne le statut du certificat révoqué à REVOKED. Cela a pour conséquence le rejet de tout accès aux API VITAM avec utilisation du certificat révoqué (les filtres de sécurité émettront des exceptions dans les journaux de log). - Une alerte de sécurité est émise dans les journaux en cas de révocation.