2.7 Présentation de NetIQ Certificate Server

NetIQ Certificate Server permet de concevoir, d'émettre et de gérer des certificats numériques en créant un objet Conteneur de sécurité et un objet Autorité de certification organisationnelle. L'objet Autorité de certification organisationnelle garantit une transmission sécurisée des données et est requis pour les produits Web. Le premier serveur eDirectory SP4 crée automatiquement et stocke physiquement les objets Conteneur de sécurité et Autorité de certification organisationnelle pour l'ensemble de l'arborescence eDirectory. Ces deux objets sont créés au sommet de l'arborescence eDirectory et doivent y rester.

Une arborescence eDirectory ne peut comporter qu'un seul objet Autorité de certification organisationnelle. Une fois que l'objet Autorité de certification organisationnelle a été créé sur un serveur, il n'est pas possible de le déplacer vers un autre serveur. La suppression et le remplacement d'un objet Autorité de certificat organisationnelle annulent tout certificat associé auparavant à cet objet.

IMPORTANT :vérifiez que le premier serveur eDirectory est bien celui qui doit être l'hôte permanent de l'objet Autorité de certification organisationnelle. Vérifiez également qu'il est fiable, accessible et qu'il fait partie intégrante du réseau.

Si ce serveur n'est pas le premier serveur eDirectory sur le réseau, le programme d'installation recherche le serveur eDirectory qui contient l'objet Autorité de certification organisationnelle et fait référence à ce serveur. Le programme d'installation accède au conteneur de sécurité et crée un objet Certificat de serveur.

Si aucun objet Autorité de certificat organisationnelle n'est disponible sur le réseau, les produits Web ne peuvent pas fonctionner.

2.7.1 Droits requis pour exécuter des tâches sur NetIQ Certificate Server

Pour exécuter les tâches associées à la configuration de NetIQ Certificate Server, l'administrateur doit disposer des droits décrits dans le tableau suivant.

Tâche NetIQ Certificate Server	Droits requis
Configuration de la sécurité de base pour l'installation du premier serveur dans une nouvelle arborescence ou la mise à niveau du premier serveur dans une arborescence où aucun système de sécurité de base n'a été installé	Droit Superviseur au niveau de la racine Droit Superviseur sur le conteneur de sécurité
Configuration de la sécurité de base pour l'installation des autres serveurs	Droit Superviseur sur le conteneur du serveur Droit Superviseur sur l'objet W0 (situé à l'intérieur du conteneur de sécurité)
Création de l'autorité de certification organisationnelle	Droit Superviseur sur le conteneur Sécurité
Création d'objets Certificat de serveur	Droit Superviseur sur le conteneur du serveur Droit Lire sur l'attribut NDSPKI:Private Key de l'objet Autorité de certification organisationnelle

De plus, l'administrateur à la racine peut déléguer la responsabilité d'utiliser l'autorité de certification organisationnelle en assignant les droits suivants aux administrateurs de sous-conteneurs. Les administrateurs de sous-conteneurs doivent posséder les droits suivants pour pouvoir installer NetIQ eDirectory avec la sécurité SSL :

Droit Lire sur l'attribut NDSPKI:Private Key de l'objet Autorité de certification organisationnelle situé dans le conteneur Sécurité.
Droit Superviseur sur l'objet W0 situé dans le conteneur Sécurité, à l'intérieur de l'objet KAP.

Ces droits sont assignés à un groupe ou à un rôle dans le cadre duquel tous les utilisateurs administratifs sont définis. Pour obtenir une liste complète des droits requis pour exécuter des tâches spécifiques associées à NetIQ Certificate Server, reportez-au Section 25.0, Présentation du serveur de certificats.

2.7.2 Opérations eDirectory sécurisées sur des ordinateurs Linux

eDirectory inclut des services PKCS (Public Key Cryptography Services) lesquels contiennent NetIQ Certificate Server qui lui fournit les services d'infrastructure de clés publiques (PKI), d'infrastructure cryptographique internationale (NICI) ainsi que le serveur SAS-SSL.

Les sections suivantes fournissent des informations sur l'exécution d'opérations sécurisées eDirectory :

Pour plus d'informations sur l'utilisation de l'autorité de certification externe, reportez-vous au Section 25.0, Présentation du serveur de certificats.

Vérification de l'installation et de l'initialisation de NICI sur le serveur

Vérifiez les conditions suivantes, qui indiquent si le module NICI a été installé et initialisé correctement :

Le fichier /etc/nici.cfg existe
Le répertoire /var/novell/nici existe
Le fichier /var/novell/nici/primenici existe

Si ces conditions ne sont pas remplies, suivez la procédure décrite à la section Initialisation du module NICI sur le serveur.

Initialisation du module NICI sur le serveur

Arrêtez le serveur eDirectory.
- Sur les systèmes Linux, entrez
  
  /etc/init.d/ndsd stop
IMPORTANT :Nous vous recommandons d'utiliser ndsmanage pour démarrer ou arrêter ndsd.
Vérifiez si le progiciel NICI est installé.
- Sur les systèmes Linux, entrez
  
  rpm -qa | grep nic i
(Conditionnel) Si le progiciel NICI n'est pas installé, installez-le maintenant.

Vous ne pourrez pas continuer si le progiciel NICI n'est pas installé.
Copiez le fichier .nfk fourni avec le paquetage dans le répertoire /var/novell/nici.

Exécutez le programme /var/novell/nici/primenici.
Lancez le serveur eDirectory.
- Sur les systèmes Linux, entrez :
  
  /etc/init.d/ndsd start
IMPORTANT :Nous vous recommandons d'utiliser ndsmanage pour démarrer ou arrêter ndsd.

Démarrage du serveur de certificats (services PKI)

Pour démarrer les services PKI, entrez la commande:

npki -1

Arrêt du serveur de certificats (services PKI)

Pour arrêter les services PKI, entrez la commande:

npki -u

Création d’un objet Autorité de certification organisationnelle

Lancez NetIQ iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la section Creating an Organizational Certificate Authority Object (Création d'un objet Autorité de certification organisationnelle) du NetIQ Certificate Server 3.3 Administration Guide (Guide d'administration de NetIQ Certificate Server 3.3).
Cliquez sur le bouton Rôles et tâches .
Cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

S'il n'existe aucun objet Autorité de certification organisationnelle, la boîte de dialogue de création d'un objet Autorité de certification organisationnelle s'ouvre, de même que l'Assistant correspondant qui crée l'objet. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations spécifiques sur la boîte de dialogue ou sur l'une des pages de l'Assistant, cliquez sur Aide.

REMARQUE :vous ne pouvez avoir qu'un seul objet Autorité de certification organisationnelle dans votre arborescence eDirectory. Pour plus d'informations sur la création d'une autorité de certification organisationnelle, reportez-vous à la section Création d'une autorité de certification organisationnelle pour votre organisation.

Création d'un objet Certificat de serveur

Les objets Certificat de serveur sont créés dans le conteneur qui contient l'objet Serveur eDirectory. Selon vos besoins, vous pouvez créer un objet Certificat de serveur distinct pour chaque application prenant en charge la cryptographie sur le serveur, ou vous pouvez créer un objet Certificat de serveur pour toutes les applications utilisées sur ce serveur.

REMARQUE :les termes « objet Certificat de serveur » et « objet Matériel clé » (KMO – Key Material Object) sont synonymes. Le nom de schéma de l'objet eDirectory est NDSPKI:Key Material.

Lancez NetIQ iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.3.6, Création d'un objet Certificat de serveur.
Cliquez sur le bouton Rôles et tâches .
Cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).

L'assistant Créer un certificat de serveur apparaît. Suivez les instructions à l'écran pour créer l'objet. Pour des informations spécifiques sur l'une des pages de l'Assistant, cliquez sur Aide.

Exportation d'un certificat auto-signé d'une autorité de certification organisationnelle

Un certificat auto-signé peut être utilisé pour vérifier l'identité de l'autorité de certification organisationnelle ainsi que la validité d'un certificat signé par cette autorité.

À partir de la page de propriétés de l'autorité de certification organisationnelle, vous pouvez afficher les certificats et les propriétés associés à cet objet. À partir de la page de propriétés du certificat auto-signé, vous pouvez exporter le certificat auto-signé dans un fichier qui pourra être utilisé dans des applications prenant en charge la cryptographie.

Le certificat auto-signé qui réside dans l'autorité de certification organisationnelle est identique au certificat de racine approuvée d'un objet Certificat de serveur qui, lui, est signé par l'autorité de certification organisationnelle. Tout service qui reconnaît le certificat auto-signé de l'autorité de certification organisationnelle en tant que racine approuvée accepte un certificat utilisateur ou un certificat de serveur valide signé par cette autorité.

Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration de l'annuaire > Modifier un objet.
Spécifiez le nom et le contexte d'un objet Autorité de certification organisationnelle, puis cliquez sur OK.

Les objets Autorité de certification organisationnelle se trouvent dans le conteneur Sécurité.
Cliquez sur l'onglet Certificats, puis sur Self-Signed Certificate (Certificat auto-signé).
Cliquez sur Exporter.

L'assistant d'exportation du certificat apparaît. Suivez les instructions à l'écran pour exporter le certificat. Pour des informations spécifiques sur l'une des pages de l'Assistant, cliquez sur Aide.
Sur la page d'exportation du résumé du certificat, cliquez sur Save the Exported Certificate to a File (Enregistrer le certificat exporté dans un fichier).

Une fois enregistré dans un fichier, le certificat peut être importé en tant que racine approuvée dans une application prenant en charge la cryptographie.
Cliquez sur Fermer.

Insérez ce fichier dans toutes les opérations de ligne de commande qui établissent des connexions sécurisées avec eDirectory.