site map contact us back to main page
picture of tbs certificates
Focus
Alerte OpenSSL/Debian :
TBS Internet refabrique gratuitement les certificats impactés par ce bug et invite ses clients à vérifier si ils sont concernés. Plus de détails...

De nouveaux assistants sont à votre disposition!
TBS Internet a développé deux nouveaux outils pour vous guider dans votre choix de «solutions PKI» ou «certificats utilisateurs».



(Category) FAQ TBS-certificats : (Category) Obtenir un certificat : (Category) Questions générales avant de commander :
Combien de licences additionnelles faut il acquérir ?
Tout d'abord, sachez, sauf indication explicite contraire, qu'

un certificat est toujours vendu avec un droit d'installation sur une seule machine physique. On entend par là une machine électriquement connectée.

Certains produits certificats disposent de la notion de licence (de machine) additionnelle. Cela permet de dupliquer le certificat au lieu d'avoir à acquérir un certificat différent par machine, et aussi de limiter les coûts (une licence vaut moins cher qu'un certificat principal) tout en simplifiant la gestion. Néanmoins il est toujours possible d'acquérir plusieurs certificats pour le même CN si le besoin s'en fait sentir.

Une licence (de machine) additionnelle est une licence qui permet de dupliquer le certificat principal pour l'utiliser sur une autre machine. Il faut donc acquérir une licence additionnelle par copie du certificat.

Voyons quelques cas courants :


Actif/Actif

Une configuration Actif/Actif est une architecture où plusieurs machines reçoivent des requêtes en parallèle. C'est le cas de serveurs en répartition de charge.

Dans cette situation, en supposant que vous ayez un total de N machines:

  • Produit avec possibilité de licence additionnelle: 1 certificat principal et N-1 licences additionnelles
  • Produit sans possibilité de licence additionnelle: N certificats principaux

Actif/Passif

Une configuration Actif/Passif est une architecture où une machine rend un service et dispose en secours, d'une autre machine identique prête à prendre le relais en cas de défaillance de la première. En général, il s'agit de firewall, relais applicatifs, accélérateur SSL, reverse proxy, etc.

Dans cette situation, en supposant que vous ayez un total de N machines:

  • Produit avec possibilité de licence additionnelle: 1 certificat principal et N-1 licences additionnelles
  • Produit sans possibilité de licence additionnelle: N certificats principaux

Site de secours

Une configuration avec site de secours duplique les installations d'un site principal. Si ce site est "live", c'est à dire que les équipements sont allumés (électriquement), il faut considérer que N est la somme des machines sur le site principal et des machines sur le site de secours:

  • Produit avec possibilité de licence additionnelle: 1 certificat principal et N-1 licences additionnelles
  • Produit sans possibilité de licence additionnelle: N certificats principaux
Si par contre le site de secours n'est pas électriquement alimenté, il n'y a aucun coût pour le matériel de ce site. Ceci est également pour tout équipement de secours sur étagère.


Cas général

Soit une configuration à N machines:
  • Produit avec possibilité de licence additionnelle: 1 certificat principal et N-1 licences additionnelles
  • Produit sans possibilité de licence additionnelle: N certificats principaux
Exemple pour 3 machines:
  • Produit avec possibilité de licence additionnelle: 1 certificat principal et 2 licences additionnelles
  • Produit sans possibilité de licence additionnelle: 3 certificats principaux

Quand ne pas utiliser de licences additionnelles ?

Il existe au moins 2 cas dans lesquels l'usage de licences additionnelles n'est pas recommandé;
  • Lorsque l'ensemble des machines de l'architecture n'utilise pas le même logiciel. Vu qu'un seul certificat est effectivement émis, il ne sera pas toujours possible de déployer la clef privée générée par un logiciel sur un autre différent. Dans ce cas il faut envisager de constituer des sous-groupes et éventuellement d'utiliser des licences au sein d'un groupe de machines avec logiciels identiques
  • Lorsque le niveau de sécurité maximum est requis. Il est toujours plus sûr d'avoir une clef privée différente par machine : en cas de compromission, avec une seule clef, tout le trafic est en danger si le certificat est dupliqué sur l'architecture. Avec une clef privée différente par machine, une compromission locale ne mets pas en danger toute l'architecture.

[Contribuer à cette Entrée]
2007-Nov-06 8:07am


Précédent: (Answer) Comment recevoir les emails sur plusieurs personnes?
Suivant: (Answer) Est-ce que l'autorité de certification peut tracer mes courriels ?
Ce document est: http://www.tbs-certificats.com//cgi-bin/fom.cgi?file=408


C'est une Faq-O-Matic 2.721.
francais anglais contact