Skip to content
Snippets Groups Projects
Commit ad5bf5d2 authored by leo.muff's avatar leo.muff
Browse files

added images

parent 8f8a462f
No related branches found
No related tags found
No related merge requests found
Hide whitespace changes
Inline Side-by-side
atelier_secu.md
+ 60
5
View file @ ad5bf5d2
...@@ -28,7 +28,7 @@ Nous avons choisi de concevoir une entreprise fournissant une version simplifié ...@@ -28,7 +28,7 @@ Nous avons choisi de concevoir une entreprise fournissant une version simplifié
- problème wildcards - problème wildcards
- vérifier l'identité du possesseur du mail → via a challenge-and-response email exchange with the address in the WHOIS entry, for example - vérifier l'identité du possesseur du mail → via a challenge-and-response email exchange with the address in the WHOIS entry, for example
- expiration des certificats racines et intermédiaires - expiration des certificats racines et intermédiaires → bridge CA
- service de support - service de support
- gestion des clefs privées - gestion des clefs privées
- changement de protocoles sécurisés - changement de protocoles sécurisés
...@@ -37,11 +37,66 @@ Nous avons choisi de concevoir une entreprise fournissant une version simplifié ...@@ -37,11 +37,66 @@ Nous avons choisi de concevoir une entreprise fournissant une version simplifié
- Trust sign ? - Trust sign ?
## Outils à explorer (choisir un): ## Outils :
- MicroK8s (infra)
- https://www.vaultproject.io/ - https://www.vaultproject.io/
- https://docs.cosmian.com/
- https://openxpki.readthedocs.io/en/stable/quickstart.html
## Schéma de l'infrastructure à clef publique
## Schéma de l'infrastructure à clef publique ## Nom de l'entreprise :
\ No newline at end of file
- ChepiA
## Commandes :
### Set up k8s cluster + install Vault
```
sudo snap install microk8s --classic --channel=1.29
microk8s enable dns hostpath-storage dashboard
microk8s helm repo add hashicorp https://helm.releases.hashicorp.com
microk8s helm install vault hashicorp/vault
microk8s kubectl exec -ti vault-0 -- vault operator init
microk8s kubectl port-forward vault-0 8200:8200
```
tokens :
Unseal Key 1: 80pqLahtRotMHBFUVDlw4Ax3MU3aPfZAvFhRe7SFoWOl
Unseal Key 2: dBShI3QRLLoEmu9bT5BV/mqOyxPC8HqmiETwxpeuD7qc
Unseal Key 3: q+uRd7IB1GuejUz+RWoc+iuUuWxC3t2S53vDO3pqlFEa
Unseal Key 4: 5/G/CndGOYuDR6X+/zMeMyK8BbswRuWpPexf0zswaNwt
Unseal Key 5: Oesp4xJ3xTElpgJm+bRfQ9Ia0cYdxiQZa3h9o3hQxK3c
Initial Root Token: hvs.zWAYhaUkch0hfgfi18fduTvl
--> Pour déverrouiller Vault, il faut que 3 des 5 tokens créés soit renseignés. On doit ensuite se logger avec le token root
### Configurer le PKI :
#### Root CA :
Commandes :
```
microk8s kubectl exec -ti vault-0 -- sh
export VAULT_TOKEN=hvs.zWAYhaUkch0hfgfi18fduTvl
vault secrets enable pki
vault secrets tune -max-lease-ttl=336h pki
vault write pki/roles/chepia-servers allow_any_name=true
vault write pki/config/urls issuing_certificates="$VAULT_ADDR/v1/pki/ca" \ crl_distribution_points="$VAULT_ADDR/v1/pki/crl"
```
→ TTL de 2 semaine ( pour tester le bridge CA )
→ Rôle permissif au niveau des noms (a changer ?)
#### Intermediate CA :
Commandes :
```
vault secrets enable -path=pki_int pki
vault secrets tune -max-lease-ttl=240h pki_int
```
→ TTL 10 jours
\ No newline at end of file
images/vault-seal.md 0 → 100644
+ 0
0
View file @ ad5bf5d2
File added
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Please register or to comment