À partir de 2029, les certificats TLS ne vivent plus que 47 jours. Les processus manuels ne passent pas à l'échelle. NextPKI orchestre le cycle de vie sur n'importe quelle CA, avec un policy gate avant chaque émission.
Chaque certificat suit une politique documentée. Chaque étape est auditable.
Chemin par défaut pour ~80 % des workloads : NextPKI agit comme client ACME face à toute CA supportée.
Pour les CA sans ACME (DigiCert CertCentral, Sectigo, GlobalSign Reseller), des intégrations robustes avec retry et rate-limit.
Double validation pour les certificats EV, vérification par email ou Slack, audit par défaut.
Quel domaine peut utiliser quelle CA, quelle taille de clé, quelle liste SAN : versionné en YAML.
ECDSA aujourd'hui, ML-DSA demain. Migration de politique sans changement de code dans vos workloads.
Respecte les fenêtres de maintenance, les rate-limits CA et les créneaux business critiques.
Démarrer petit, avec un domaine et une équipe, et étendre étape par étape à l'ensemble du parc.
Un périmètre contrôlé, une CA. Vérifier le renouvellement end-to-end, calibrer les alertes.
Classes de risque, voies de validation, ownership : en code, pas dans les têtes.
Brancher d'autres CA, authentifier les comptes resellers, activer la gestion de quotas.
Le renouvellement tourne en mains-off. On n'appelle des humains que pour des violations de politique ou des nouveaux workloads.
Parlons-en quand vos premiers scripts ACME grincent déjà et que les oublis de renouvellement deviennent la première cause d'incident.