PKI - Renouvellement automatique des certificats

Les systèmes de renouvellement automatique permettent de remplacer les certificats numériques avant leur expiration, sans intervention manuelle. Cela évite les interruptions de service et renforce la sécurité.

Fonctionnement général

📅 Surveille la date d'expiration du certificat
🔐 Génère une nouvelle clé/CSR automatiquement
📥 Demande un certificat à la CA (Certificate Authority)
⚙️ Installe le certificat et redémarre les services concernés

Protocoles standards utilisés

Protocole	Description	Usage typique
ACME (RFC 8555)	Renouvellement via challenges HTTP/DNS	Web, Let’s Encrypt
EST (RFC 7030)	Enrôlement via HTTPS + certificat client	IoT, entreprise, appareils connectés
SCEP	Protocole simple et ancien	Routeurs, MDM, legacy
CMP / CMC	PKI complète (demande, révocation...)	CA avancées (EJBCA, Microsoft CA)

Exemples de solutions

Certbot (ACME / Let’s Encrypt)
Microsoft AD CS (autoenrollment via GPO)
HashiCorp Vault (agent de renouvellement PKI)
cert-manager (Kubernetes, via ACME ou Vault)

Schéma simplifié

[Client] | |--- Génère clé + CSR automatiquement |--- Contacte la CA via ACME / EST / SCEP |<-- Reçoit certificat signé |--- Installe et recharge le service (ex: NGINX)

Bonnes pratiques

⏱️ Certificats à courte durée de vie (ex: 90 jours)
🔐 Authentification forte pour les demandes
📜 Journalisation et alertes en cas d’échec
⚠️ Surveillance des expirations & renouvellements

Résumé

Élément	Description
🎯 Objectif	Éviter l’expiration des certificats automatiquement
🔗 Protocoles	ACME, EST, SCEP, CMP
🧰 Outils	Certbot, AD CS, Vault, cert-manager
✅ Sécurité	Authentification, rotation fréquente, surveillance