Une Managed PKI standard est un service d'abonnement qui vous permet de récupérer des certificats SSL/TLS et des certificats S/MIME (e-mail) à tout moment. Les certificats peuvent être délivrés manuellement ou automatiquement (via des interfaces dédiées, par exemple API REST ou le protocole ACME). Il est préférable de l'associer à une solution de Gestion du cycle de vie des certificats (Certificate Lifecycle Management) (CLM).

Tous les types de certificats SSL/TLS Internet peuvent être délivrés, c'est-à-dire les niveaux de validation

• Domaine validé (DV),

• Organisation validée (OV -- avec entrée de l'organisation) et

• Extension validée (EV -- avec entrée de l'organisation et fonctionnalités supplémentaires)

dans toutes les variantes

• domaine unique,

• domaine multiple (SAN) et

• caractère générique

peuvent être émis.

Certificats par e-mail des types suivants:

• Boîte aux lettres (Mailbox) validée (MV -- adresse e-mail uniquement)

• (bientôt disponible) Organisation validée (OV -- adresse e-mail et entrée de l'organisation)

• Sponsor validé (SV -- adresse e-mail, saisie de l'organisation et personne en tant que titulaire)

peuvent être émis.

Une Managed PKI privée (également appelée PKI as a Service) consiste à externaliser l'exploitation de votre infrastructure de certificat à un fournisseur spécialisé tout en conservant le contrôle sur vos politiques de certification (CP) et règles d'émission de certificat. Au lieu d'exécuter vos propres serveurs CA, HSM et logiciels de gestion de certificats sur site, vous accédez aux capacités PKI via API et via des interfaces de gestion. La principale différence: avec une PKI interne, votre équipe gère la maintenance des serveurs, les mises à jour de sécurité, les audits de conformité, la gestion HSM et la reprise après sinistre. Avec une Managed PKI privée, le fournisseur gère les opérations d'infrastructure tandis que vous vous concentrez sur les politiques de certification et l'intégration. Vous obtenez des capacités PKI d'entreprise sans les frais généraux opérationnels.

Tout comme la Managed PKI standard, la Managed PKI privée peut être combinée avec une solution de Gestion du cycle de vie des certificats (CLM).

La plateforme gère à la fois des certificats approuvés publiquement (provenant de la CA publique de SwissSign) et des certificats privés pour des cas d'usage internes uniquement:

La Managed PKI standard SwissSign prend en charge les certificats pour Internet, cf. Qu'est-ce qu'une Managed PKI SwissSign?.

La Managed PKI privée peut délivrer n'importe quel type de certificat (X.509), par exemple des certificats SSL/TLS pour un usage interne, des certificats clients pour l'authentification des utilisateurs et utilisatrices ou des certificats de périphériques pour IoT et les équipements industriels.

L'automatisation PKI utilise des protocoles tels que ACME (Automatic Certificate Management Environment) pour émettre, renouveler et révoquer des certificats sans intervention manuelle. Avec ACME, vos serveurs ou appareils communiquent directement avec l'autorité de certification (CA) pour demander des certificats, prouver automatiquement la propriété du domaine et recevoir des certificats en quelques secondes. La REST API de SwissSign offre une flexibilité supplémentaire pour les intégrations personnalisées, vous permettant de gérer les certificats par programme sur l'ensemble de votre infrastructure. Ceci supprime la génération CSR manuelle, réduit les erreurs humaines et garantit un renouvellement en douceur des certificats.

La MPKI de SwissSign s'intègre aux principales plateformes de gestion du cycle de vie des certificats (CLM) et aux outils d'entreprise au moyen de protocoles standard. SwissSign propose également une véritable CLM complète, développée par l'entreprise française innovante Evertrust.

D'autres options d'intégration incluent la prise en charge du protocole ACME pour les workflows de certificats automatisés, la REST API pour les intégrations personnalisées et la gestion par programme, et des capacités d'intégration directe avec les principaux fournisseurs CLM.

Par conséquent, la plateforme prend en charge le déploiement de certificats sur les serveurs Web, les répartiteurs de charge, les passerelles API, les périphériques IoT et les environnements de conteneurs.

Le déploiement des certificats varie selon le type d'infrastructure, mais suit des workflows automatisés. Pour les serveurs Web et les répartiteurs de charge, les clients ACME ou les outils de gestion du cycle de vie des certificats, comme notre propre CLM, gèrent directement le déploiement. Dans les environnements Kubernetes et de conteneurs, cert-manager ou des opérateurs similaires automatisent l'injection de certificats -- ils peuvent être intégrés dans une CLM. Les périphériques IoT utilisent SCEP ou l'intégration API personnalisée pour le provisionnement en bloc. L'essentiel est d'établir la connexion initiale entre votre infrastructure, la plateforme MPKI et la CLM. Ensuite, l'émission, le déploiement et le renouvellement des certificats se font automatiquement en fonction des politiques que vous avez définies. Apprenez-en plus sur le fonctionnement de la gestion du cycle de vie des certificats ici.

La période de prestation de la Managed PKI est généralement d’un an et se prolonge automatiquement d’un an si le contrat n’est pas résilié. En cas de résiliation du contrat, les certificats encore actifs sont retirés (révoqués) à la date de résiliation.

Vous pouvez obtenir autant de certificats que vous en nécessitez. Si vous avez eu besoin de plus de certificats que ceux indiqués dans la facture prévisionnelle, vous recevrez une facture rectificative sur la base des certificats actifs à la date de référence du décompte de la dernière année contractuelle.

La première année de contrat: vous recevez une facture prévisionnelle qui tient compte de tous les rabais disponibles. Plus votre chiffre d’affaires annuel est élevé, moins chaque certificat vous coûte.

À partir de la deuxième année: votre facture est calculée en fonction du nombre de certificats actifs à la date de référence du décompte. Toutefois, si ce montant est inférieur à votre facture prévisionnelle initiale, nous vous facturerons le montant le plus élevé de votre première commande.

De manière générale, plus votre chiffre d’affaires annuel est élevé, moins chaque certificat vous coûte. Jusqu’à un chiffre d’affaires annuel de CHF/EUR 20 000.–, vous pouvez calculer le prix et commander vos certificats, rabais compris, directement sur notre plateforme de commande. Si vous avez besoin de davantage de certificats, contactez-nous et nous vous ferons parvenir une offre personnalisée attrayante.

Trois mois avant l’échéance de votre contrat annuel ou avant son renouvellement automatique.