Le Remote Key Server est une solution de gestion des certificats et des clefs privées TLS dans un système distribué.
La distribution des clefs privées exige de prendre soin de leurs accès, de leurs stockage et de leurs durées de stockage sur les serveurs.
Dans le contexte d’un CDN (Réseau de livraison de contenu), le trafic HTTPS exige de manipuler des certificats et clés privées de multiples fournisseurs de contenus et de les distribuer à travers les noeuds du CDN. Cela engendre des problématiques liées à la gestion des secrets et plus particulièrement à la sécurité des nœuds ayant accès aux secrets.
Le Remote Key Server propose un modèle simple pour :
- sécuriser la distribution de secrets TLS en limitant l’accès aux secrets uniquement aux serveurs authentifiés,
- limiter la durée de stockage des secrets sur un serveur à un temps donné, configurable,
- gérer facilement les secrets en fournissant une configuration centralisée via une API,
- ajouter une solution de gestion de crise pour couper l’accès au Remote Key Server de serveurs spécifiques ou du CDN entier en cas d’urgence.
Le Remote Key Server est basé sur le logiciel libre Hashicorp Vault et fournit une API au-dessus de celle de Vault.
Pour en savoir plus, aller vers Remote Kay Server sur GitHub (publié sous Mozilla Public License 2.0).