Une fois NetIQ Certificate Server installé, vous devez le configurer pour pouvoir l'utiliser sur votre réseau. Pour ce faire, effectuez les tâches suivantes :
Section 25.3.1, Choix du type d'autorité de certification à utiliser
Section 25.3.2, Création d’un objet Autorité de certification organisationnelle
Section 25.3.4, Restrictions associées à la création d'un objet Autorité de certification
Section 25.3.5, Configuration de l'autorité de certification en mode SuiteB
NetIQ Certificate Server permet de créer des certificats pour les serveurs et les utilisateurs finaux. Les certificats de serveur peuvent être signés par l'autorité de certification organisationnelle ou par une autorité de certification externe ou tierce. Les certificats utilisateur ne peuvent être signés que par l'autorité de certification organisationnelle. Vous pouvez cependant importer les certificats utilisateur signés par une autorité de certification tierce au format PKCS#12.
Au cours de la procédure de création de l'objet Certificat de serveur, vous devez indiquer le type d'autorité de certification qui signera cet objet.
L'autorité de certification organisationnelle est propre à votre organisation et utilise une clé publique spécifique pour les opérations de signature. La clé privée est générée lors de la création de l'autorité de certification organisationnelle.
Une autorité de certification tierce est gérée par un tiers en dehors de l'arborescence eDirectory. VeriSign est un exemple d'autorité de certification tierce.
Vous pouvez utiliser simultanément les deux types d'autorité de certification. L'utilisation d'un type d'autorité de certification n'exclut pas l'utilisation de l'autre.
La compatibilité : l'autorité de certification organisationnelle est compatible avec les applications NetIQ ou Novell telles que les services LDAP. Les certificats émis par l'autorité de certification organisationnelle sont conformes à la norme X.509 v3 et peuvent également être utilisés dans des applications tierces.
Les économies : l'autorité de certification organisationnelle vous permet de créer gratuitement un nombre illimité de certificats de clé publique. Sachez que l'obtention d'un seul certificat de clé publique auprès d'une autorité de certification externe peut parfois être très coûteux.
Élément d'une solution complète et compatible : L'autorité de certification organisationnelle vous permet d'utiliser le système cryptographique complet intégré dans eDirectory sans devoir faire appel au moindre service externe. Qui plus est, NetIQ Certificate Server est compatible avec une large gamme de produits NetIQ et Novell.
Attribut de certificat et contrôle du contenu : Une autorité de certification organisationnelle est gérée par l'administrateur réseau. Ce dernier sélectionne les attributs de certificat de clé publique comme la durée de vie, la taille de la clé et l'algorithme de signature.
Gestion simplifiée : l'autorité de certification organisationnelle remplit une fonction similaire aux autorités de certification externes, sans le moindre coût supplémentaire ni surcroît de complexité.
Responsabilité : une autorité de certification externe peut offrir une certaine protection en matière de responsabilité si, par la faute de l'autorité de certification, votre clé privée a été dévoilée ou si votre certificat de clé publique n'a pas été correctement représenté.
Disponibilité : le certificat d'une autorité de certification externe peut être plus largement disponible et plus largement approuvé par les applications autres qu'eDirectory.
Par défaut, la procédure d'installation de NetIQ Certificate Server crée l'autorité de certification organisationnelle (CA) pour vous. Vous êtes invité à spécifier le nom d'une autorité de certification organisationnelle. Lorsque vous cliquez sur Terminer, l'autorité de certification organisationnelle est créée avec les paramètres par défaut et placée dans le conteneur de sécurité.
Si vous souhaitez mieux contrôler la création de l'autorité de certification organisationnelle, vous pouvez la créer manuellement à l'aide d'iManager. En outre, si vous supprimez l'autorité de certification organisationnelle, vous devrez la recréer.
Au cours de la procédure de création, vous êtes invité à attribuer un nom à l'objet Autorité de certification organisationnelle et à choisir un serveur pour l'héberger (le serveur sur lequel le service de l'autorité de certification organisationnelle doit s'exécuter). Pour déterminer le serveur sur lequel le service Autorité de certification organisationnelle doit être hébergé, tenez compte des aspects suivants :
Sélectionnez un serveur physiquement sécurisé.
L'accès physique au serveur de l'autorité de certification est un aspect important de la sécurité du système. Si le serveur de l'autorité de certification est endommagé, tous les certificats émis par l'autorité de certification le sont également.
Sélectionnez un serveur stable, résistant et présentant une haute disponibilité.
Si le service de l'autorité de certification n'est pas disponible, les certificats ne peuvent pas être créés. L'installation de nouveaux serveurs s'en trouve affectée, car les certificats doivent être créés lors de l'installation.
Sélectionnez un serveur qui exécute uniquement des logiciels que vous avez approuvés.
L'exécution de logiciels inconnus ou douteux risque d'endommager le fonctionnement de l'autorité de certification.
Sélectionnez un serveur qui ne sera pas supprimé de l'arborescence.
Si le serveur est supprimé de l'arborescence, vous devez soit recréer l'objet Autorité de certification à l'aide d'une sauvegarde effectuée avant de l'avoir supprimé l'autorité de certification ou vous devez créer une nouvelle autorité de certification. Si vous créez une nouvelle autorité de certification, vous devrez peut-être remplacer les certificats serveur et utilisateur existants.
Sélectionnez un serveur qui exécute un protocole compatible avec d'autres serveurs de votre arborescence ;
un protocole IP par exemple.
Utilisez un certificat ECDSA pour créer une autorité de certification pour l'organisation.
Pour créer l'objet Autorité de certification organisationnelle, procédez comme suit :
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
S'il n'existe aucun objet Autorité de certification organisationnelle, la boîte de dialogue de création d'un objet Autorité de certification organisationnelle s'ouvre, de même que l'assistant correspondant qui crée l'objet. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations spécifiques sur la boîte de dialogue ou sur l'une des pages de l'assistant, cliquez sur Aide.
Une fois l'autorité de certification créée, il est recommandé d'effectuer une sauvegarde de la paire de clés publique/privée de l'autorité de certification et de la conserver en lieu sûr. Reportez-vous à la section Sauvegarde d'une autorité de certification organisationnelle.
REMARQUE :vous ne pouvez avoir qu'un seul objet Autorité de certification organisationnelle dans votre arborescence eDirectory.
NetIQ Certificate Server prend désormais en charge une autorité de certification subordonnée. Cette fonction permet à l'autorité de certification organisationnelle d'être subordonnée à une autorité de certification tierce ou à une autorité de certification dans une autre arborescence eDirectory. Votre arborescence eDirectory ne peut toutefois contenir qu'une seule autorité de certification organisationnelle.
Voici quelques raisons justifiant d'avoir une autorité de certification subordonnée à votre disposition :
permet à l'autorité de certification organisationnelle de devenir partie intégrante d'une infrastructure PKI existante tierce ;
permet à plusieurs arborescences de partager une même racine approuvée (ou la même ancre d'approbation) pour l'infrastructure PKI ;
permet de renforcer la sécurité de l'autorité de certification racine en hébergeant l'autorité de certification sur un système davantage sécurisé ;
permet de réduire les risques en faisant résider l'autorité de certification racine dans une arborescence gérée de manière plus stricte (par exemple, dans une arborescence à l'abri d'administrateurs/utilisateurs malveillants).
Pour créer une autorité de certification subordonnée, vous devez d'abord supprimer l'autorité de certification organisationnelle existante (pour ce faire, reportez-vous à la section Suppression d'une autorité de certification organisationnelle). Vous devez déjà disposer d'un fichier PKCS#12 contenant les clés publique/privée ainsi que la chaîne de certificats de l'autorité de certification subordonnée. Vous pouvez vous procurer ce fichier directement auprès d'une autorité de certification tierce ou consulter la section Création de fichiers PKCS#12 pour une autorité de certification subordonnée pour apprendre comment créer ce type de fichier. Pour créer l'autorité de certification subordonnée, connectez-vous à l'arborescence dans iManager et utilisez la tâche de configuration d'une autorité de certification à l'aide de la méthode de création d'une importation.
Créez un objet Certificat de serveur (ou un objet Matériel clé) et une requête de signature de certificat PKCS#10 à l'aide de clés ECDSA et RSA.
Lancez iManager.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).
Sélectionnez le serveur devant héberger l'autorité de certification, indiquez un surnom pour le certificat, sélectionnez la méthode de création personnalisée, puis cliquez sur Suivant.
Sélectionnez Autorité de certification externe, puis cliquez sur Suivant.
Sélectionnez l'algorithme et une taille de clé et vérifiez que l'option Allow Private Key to Be Exported (Autoriser l'exportation de la clé privée) est sélectionnée, puis cliquez sur Next (Suivant).
IMPORTANT :si vous souhaitez utiliser des certificats RSA et ECDSA dans votre environnement eDirectory, répétez cette étape pour le certificat que vous souhaitez utiliser. NetIQ recommande d'utiliser une taille de clé de 2 048 bits pour RSA et 384 bits pour ECDSA.
Cliquez sur le bouton Modifier à droite du champ Nom de l'objet et éditez le Nom de l'objet afin de refléter l'autorité de certification subordonnée et l'arborescence. Sélectionnez ensuite l'algorithme de signature (NetIQ recommande d'utiliser un algorithme plus puissant que SHA-1), puis cliquez sur Suivant.
Vérifiez que le résumé est correct, puis cliquez sur Terminer.
Cliquez sur Save Certificate Signing Request (Enregistrer la requête de signature de certificat), puis suivez les invites pour enregistrer la CSR dans un fichier.
Faites signer la CSR pour créer un certificat.
Si l'autorité de certification subordonnée doit faire partie d'une infrastructure à clé publique tierce, demandez à l'autorité de certification tierce de créer le certificat à partir de la CSR.
ou
Si l'autorité de certification subordonnée doit être signée par une autorité de certification dans une autre arborescence eDirectory, passez à l'Étape 2.b.
REMARQUE :s'il s'agit d'un certificat ECDSA, la CSR ne peut être signée que par l'autorité de certification ECDSA.
Lancez iManager.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Issue Certificate (Émettre le certificat).
Sélectionnez le fichier contenant la CSR, puis cliquez sur Next (Suivant).
Sélectionnez un type de clé pour l'autorité de certification, désélectionnez l'option Enable Extended Key Usage (Activer l'utilisation de clés étendues), puis cliquez sur Next (Suivant).
Sélectionnez le type d'autorité de certification du certificat, puis sélectionnez une longueur non spécifiée ou un chemin d'accès spécifique, puis cliquez sur Next (Suivant).
Vérifiez le nom de l'objet et modifiez-le si nécessaire. Spécifiez une durée de validité (une période de 5 à 10 ans est recommandée), puis cliquez sur Next (Suivant).
Sélectionnez le format du certificat, puis cliquez sur Next (Suivant).
Cliquez sur Finish (Terminer).
Cliquez sur Download the issued certificate (Télécharger le certificat émis), puis suivez les invites pour enregistrer le certificat.
Procurez-vous les certificats de l'autorité de certification.
Si l'autorité de certification subordonnée doit faire partie d'une infrastructure à clé publique tierce, procurez-vous les certificats auprès d'une d'autorité de certification tierce.
ou
Si le certificat de l'autorité de certification subordonnée doit être signé par une autorité de certification dans une autre arborescence eDirectory, passez à l'Étape 3.b.
Lancez iManager.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet Certificates (Certificats), puis sélectionnez Self-Signed Certificate (Certificat auto-signé).
Cliquez sur Exporter.
N'exportez pas la clé privée et sélectionnez un format pour le certificat, puis cliquez sur Next (Suivant).
Cliquez sur Save the Exported Certificate to a File (Enregistrer le certificat exporté dans un fichier), puis suivez les invites pour enregistrer le certificat.
Importez les certificats dans l'objet Certificat de serveur (ou l'objet Matériel clé).
Lancez iManager.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Sélectionnez le serveur supposé héberger l'autorité de certification.
Sélectionnez l'objet Certificat de serveur (ou objet Matériel clé) créé à l'Étape 1, puis cliquez sur l'option Import (Importer).
Sélectionnez les deux fichiers contenant les certificats obtenus à l'Étape 2 et l'Étape 3, puis cliquez sur OK.
IMPORTANT :si vous souhaitez utiliser des certificats RSA et ECDSA dans votre environnement eDirectory, répétez cette étape pour le certificat que vous souhaitez utiliser.
Exportez les clés publique/privée dans un fichier PKCS#12.
Reprenez à l'Étape 4.e, cliquez sur Export (Exporter), choisissez d'inclure la clé privée, puis cliquez sur Next (Suivant).
Cliquez sur Save the Exported Certificate to a File (Enregistrer le certificat exporté dans un fichier), puis suivez les invites pour enregistrer le fichier PKCS#12.
Effectuez une copie de ce fichier et conservez-le en lieu sûr (accompagné de son mot de passe).
(Facultatif) Supprimez l'objet Certificat de serveur (ou l'objet Matériel clé).
Supprimez l'autorité de certification organisationnelle Pour plus d'informations, reportez-vous à la section Suppression d'une autorité de certification organisationnelle.
Importez les certificats de l'autorité de certification subordonnée ainsi que les clés privées à partir du fichier PKCS#12. Pour plus d'informations, reportez-vous à la section Restauration d'une autorité de certification organisationnelle.
eDirectory 9.0 prend en charge les certificats RSA et EC pour l'autorité de certification. Les points suivants s'appliquent à la création d'un objet Autorité de certification avec des certificats RSA et EC :
Le nom d'objet des certificats RSA et EC doit être identique.
Les autorités de certification RSA et EC ne doivent pas être en mode mixte. Les autorités de certification RSA et CE peuvent être des autorités de certification racine ou subordonnée. Par exemple, l'autorité de certification RSA ne peut pas être à la racine si l'autorité de certification EC est subordonnée et inversement.
eDirectory ne vous autorise pas à importer les certificats auto-signés d'un autorité de certification générés par une application tierce en dehors d'eDirectory.
Avant de configurer l'autorité de certification en mode SuiteB, assurez-vous que le serveur sur lequel l'autorité de certification est hébergée contient la version 3.0 de NICI et qu'il est configuré pour exécuter une authentification EBA.
Pour configurer l'autorité de certification afin qu'elle fonctionne en mode SuiteB, procédez comme suit :
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Sélectionnez Enable Suite B Mode (Activer le mode SuiteB).
Cliquez sur OK.
Lorsque l'autorité de certification est en mode SuiteB, NetIQ Certificate Server ne vous autorise pas à créer des certificats RSA. Pour plus d'informations sur les certificats ECDSA pris en charge, reportez-vous à la Section 25.2, Composants de NetIQ Certificate Server.
Si vous ajoutez un serveur avec une ancienne version d'eDirectory à une arborescence eDirectory 9.0 configurée en mode SuiteB, NetIQ Certificate Server ne crée pas les certificats pour le serveur, car il ne dispose pas de la fonctionnalité SuiteB. Pour activer cette fonctionnalité sur ces serveurs, vous devez procéder à une mise à niveau vers eDirectory 9.0.
Les objets Certificat de serveur sont créés dans le conteneur dans lequel se trouve l'objet eDirectory du serveur. Selon vos besoins, vous pouvez créer un objet Certificat de serveur distinct pour chaque application codée sur le serveur ou vous pouvez créer un objet Certificat de serveur pour toutes les applications utilisées sur ce serveur.
REMARQUE :les expressions « objet Certificat de serveur » et « objet Matériel clé (KMO) » sont synonymes. Le nom de schéma de l'objet eDirectory est NDSPKI:Key Material.
Lorsque vous installez NetIQ Certificate Server, eDirectory crée automatiquement l'objet Certificat de serveur avec les paramètres par défaut et le place dans le conteneur hébergeant le serveur cible. Si vous devez écraser ou créer de nouveaux certificats par défaut, vous pouvez utiliser l'assistant de création de certificats par défaut. Reportez-vous à la section Création d'objets Certificat de serveur par défaut.
Si vous souhaitez mieux contrôler la création de l'objet Certificat de serveur, vous pouvez le créer manuellement. Vous pouvez également créer des objets Certificat de serveur supplémentaires.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).
La boîte de dialogue de création d'un certificat de serveur et l'Assistant qui crée cet objet apparaissent. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations spécifiques sur la boîte de dialogue ou sur l'une des pages de l'assistant, cliquez sur Aide.
Au cours du processus de création de l'objet Certificat de serveur, vous êtes invité à attribuer un nom à la paire de clés et à sélectionner le serveur auquel elle doit être associée. L'objet Certificat de serveur est généré par NetIQ Certificate Server et son nom est basé sur le nom de la paire de clés choisie.
Si vous sélectionnez la méthode de création personnalisée, vous êtes également invité à indiquer si l'objet Certificat de serveur doit être signé par une autorité de certification de votre organisation ou par une autorité de certification externe. Pour obtenir des informations sur le type d'autorité à choisir, reportez-vous à la Section 25.3.1, Choix du type d'autorité de certification à utiliser.
Si vous décidez d'utiliser l'autorité de certification de votre organisation, le serveur auquel l'objet Certificat de serveur est associé doit pouvoir communiquer avec le serveur qui héberge l'autorité de certification organisationnelle ou doit être ce serveur proprement dit. Ces serveurs doivent exécuter le même protocole (IP).
Si vous décidez d'utiliser une autorité de certification externe pour signer le certificat, le serveur auquel est associé l'objet Certificat de serveur génère une requête de signature de certificat que vous devez soumettre à cette autorité.
Une fois que le certificat est signé et qu'il vous a été renvoyé, vous devez l'installer dans l'objet Certificat de serveur, ainsi que la racine approuvée de l'autorité de certification externe.
Après avoir créé l'objet Certificat de serveur, vous pouvez configurer vos applications de manière à ce qu'elles l'utilisent. (Reportez-vous à la Section 25.3.7, Configuration des applications codées.) Dans la configuration de l'application, les clés sont référencées en fonction du nom de la paire de clés que vous saisissez lors de la création de l'objet Certificat de serveur.
Après avoir configuré NetIQ Certificate Server, vous devez configurer vos applications codées individuelles afin qu'elles puissent utiliser les certificats personnalisés que vous avez créés. Les procédures de configuration sont propres à chaque application. Veillez donc à consulter la documentation relative à chacune des applications utilisées pour obtenir des instructions spécifiques.
NetIQ Certificate Server inclut d'autres composants qui peuvent être configurés pour offrir des fonctionnalités supplémentaires.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create User Certificate (Créer un certificat utilisateur).
Un assistant s'ouvre et vous aide à créer le certificat utilisateur. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations précises sur les pages de l'assistant, cliquez sur Aide.
Vous pouvez créer un conteneur de racines approuvées à n'importe quel emplacement de l'arborescence eDirectory.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Trusted Root Container (Créer un conteneur de racines approuvées).
Spécifiez un nom pour le conteneur de racines approuvées.
Recherchez et sélectionnez le contexte pour le conteneur de racines approuvées.
Cliquez sur OK.
REMARQUE :différentes applications peuvent nécessiter que le conteneur de racines approuvées reçoive un nom spécifique et soit hébergé à un emplacement spécifique de l'arborescence eDirectory. NetIQ Certificate Server exige que le conteneur de racines approuvées soit nommé Trusted Roots (Racines approuvées) et se trouve dans le conteneur de sécurité. Les certificats de ce conteneur sont utilisés pour valider des certificats utilisateur signés par des autorités de certification externes et les certificats d'autorité de certification intermédiaires sont stockés dans des objets Racine approuvée. Les certificats de serveur et ceux des autorités de certification organisationnelle utilisent la chaîne de certificats stockée dans leurs propres objets.
Un objet Racine approuvée peut uniquement résider dans un conteneur de racines approuvées.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Trusted Root (Créer une racine approuvée).
L'assistant de création d'un objet Racine approuvée s'ouvre et vous aide à créer l'objet Racine approuvée. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations précises sur les pages de l'assistant, cliquez sur Aide.
REMARQUE :Un objet Racine approuvée peut stocker tout type de certificat (certificats d'autorités de certification, certificats d'autorités de certification intermédiaires ou certificats utilisateur).
L'objet Service SAS est automatiquement créé dans le cadre de la vérification de l'état de santé du serveur. Il n'est pas nécessaire de le créer manuellement. Si vous devez le créer manuellement, utilisez la procédure suivante :
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create SAS Service Object (Créer un objet Service SAS).
L'assistant de création d'un objet Service SAS s'ouvre et vous aide à créer l'objet Service SAS. Suivez les instructions à l'écran pour créer l'objet. Pour obtenir des informations précises sur les pages de l'assistant, cliquez sur Aide.