25.4 Gestion de NetIQ Certificate Server

En tant qu'administrateur système, vous devez effectuer plusieurs tâches pour gérer les services de cryptographie à clé publique fournis par NetIQ Certificate Server. iManager vous permet d'effectuer ces tâches. Cette section fournit un bref aperçu et des informations spécifiques de l'exécution de chaque tâche.

Tâches relatives à l'autorité de certification :

Tâches relatives à l'objet Certificat de serveur :

Tâches relatives au certificat utilisateur :

Auto-provisioning du certificat X.509 :

Utilisation des certificats eDirectory avec des applications externes :

Tâches relatives à l'objet Racine approuvée :

Tâches relatives aux listes de révocation de certificats

Tâches relatives à eDirectory :

Tâches relatives aux applications

25.4.1 Tâches concernant l'autorité de certification

Création d’un objet Autorité de certification organisationnelle

Cette tâche est décrite à la Section 25.3.2, Création d’un objet Autorité de certification organisationnelle.

Émission d'un certificat de clé publique

Cette tâche vous permet de générer des certificats destinés aux applications codées qui ne reconnaissent pas les objets Certificat de serveur.

Votre autorité de certification organisationnelle fonctionne de la même manière qu'une autorité de certification externe. Autrement dit, elle est capable d'émettre des certificats à partir de requêtes de signature. Vous pouvez émettre des certificats à l'aide de votre autorité de certification organisationnelle lorsqu'un utilisateur envoie une requête vous invitant à signer le certificat. L'utilisateur qui demande le certificat peut se servir du certificat émis et l'importer directement dans l'application qui prend en charge la cryptographie.

Pour émettre un certificat de clé publique :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Issue Certificate (Émettre le certificat).
Utilisez le bouton Browse (Parcourir) afin de localiser un fichier CSR, ouvrez le fichier, puis cliquez sur Next (Suivant).
Spécifiez le type de clé, son utilisation ainsi que son utilisation étendue, puis cliquez sur Next (Suivant).
Spécifiez les contraintes de base du certificat, puis cliquez sur Next (Suivant).
Spécifiez le nom de l'objet, la période de validité, les dates effectives et d'expiration ainsi que les extensions personnalisées, puis cliquez sur Next (Suivant).
Reportez-vous à la feuille de paramètres. Si elle vous convient, cliquez sur Finish (Terminer). Dans le cas contraire, cliquez sur Back (Précédent) jusqu'à ce que vous arriviez au point à modifier.

Lorsque vous cliquez sur Finish (Terminer), une boîte de dialogue vous informe qu'un certificat a été créé. Vous pouvez enregistrer le certificat dans le Presse-papiers système au format Base64, ou dans un fichier au format Base64 ou encore, un fichier au format binaire DER. Vous pouvez également cliquer sur Details (Détails) pour afficher les détails du certificat émis.

Affichage des propriétés de l'autorité de certification organisationnelle

Outre les propriétés et les droits eDirectory que vous pouvez visualiser avec tout objet eDirectory, vous pouvez également afficher les propriétés propres à l'autorité de certification organisationnelle, notamment celles qui concernent le certificat de clé publique et le certificat auto-signé qui lui est associé.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

Les pages de propriétés de l'autorité de certification organisationnelle s'affichent, à savoir une page générale, une page dédiée à la liste de révocation et une page dédiée aux certificats.
Cliquez sur les onglets que vous souhaitez visualiser.

Affichage des propriétés du certificat de clé publique d'une autorité de certification organisationnelle

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

Les pages de propriétés de l'autorité de certification organisationnelle s'affichent, à savoir une page générale, une page dédiée à la liste de révocation, une page dédiée aux certificats et une page dédiée à eDirectory.
Cliquez sur Certificates (Certificats), puis cliquez sur le surnom du certificat de clé publique que vous souhaitez afficher.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Cliquez sur Close (Fermer).

Affichage des propriétés de certificat auto-signé de l'autorité de certification

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

Les pages de propriétés de l'autorité de certification organisationnelle s'affichent, à savoir une page générale, une page dédiée à la liste de révocation et une page dédiée aux certificats.
Cliquez sur Certificates (Certificats), puis cliquez sur le surnom du certificat auto-signé que vous souhaitez afficher.

S'il s'agit d'une autorité de certification subordonnée, il n'existe aucun certificat auto-signé.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Cliquez sur Close (Fermer).

Exportation d'un certificat auto-signé d'une autorité de certification organisationnelle

Le certificat auto-signé peut être utilisé pour vérifier l'identité de l'autorité de certification organisationnelle ainsi que la validité d'un certificat signé par cette autorité.

À partir de la page de propriétés de l'autorité de certification organisationnelle, vous pouvez afficher les certificats et les propriétés associés à cet objet. À partir de la page de propriétés du certificat auto-signé, vous pouvez exporter le certificat auto-signé dans un fichier qui pourra être utilisé dans des applications codées.

Le certificat auto-signé qui réside dans l'autorité de certification organisationnelle est identique au certificat de racine approuvée d'un objet Certificat de serveur qui, lui, est signé par l'autorité de certification organisationnelle. Tout service qui reconnaît le certificat auto-signé de l'autorité de certification organisationnelle en tant que racine approuvée peut accepter un certificat utilisateur ou un certificat de serveur valide signé par cette autorité.

Cette tâche ne s'applique toutefois pas si l'autorité de certification est subordonnée.

Pour exporter le certificat auto-signé de l'autorité de certification organisationnelle :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

Les pages de propriétés de l'autorité de certification organisationnelle s'affichent, à savoir une page générale, une page dédiée à la liste de révocation, une page dédiée aux certificats et une page dédiée à eDirectory.
Cliquez sur Certificates (Certificats), puis sélectionnez le certificat auto-signé.
Cliquez sur Exporter et suivez les invites pour exporter le certificat.

L'assistant d'exportation de certificats démarre. Vérifiez que la case Export private key (Exporter la clé privée) n'est pas cochée.
Cliquez sur Finish (Terminer).

Sauvegarde d'une autorité de certification organisationnelle

NetIQ vous recommande de sauvegarder la clé privée ainsi que les certificats de votre autorité de certification organisationnelle en cas d'échec irrécupérable du serveur hébergeant l'autorité de certification organisationnelle. Dans ce cas, le fichier de sauvegarde vous permettra de restaurer votre autorité de certification organisationnelle sur n'importe quel serveur de l'arborescence.

REMARQUE :la sauvegarde d'une autorité de certification organisationnelle n'est possible que pour les autorités de certification organisationnelle créées avec la version 9.0 (ou version ultérieure) de NetIQ Certificate Server. Dans les versions précédentes de NetIQ Certificate Server, la clé privée de l'autorité de certification organisationnelle était créée de manière à rendre toute exportation impossible.

Le fichier de sauvegarde contient la clé privée de l'autorité de certification, un certificat auto-signé, un certificat de clé publique et plusieurs autres certificats nécessaires à son fonctionnement. Ces informations sont stockées au format PKCS#12 (également appelé PFX).

L'autorité de certification organisationnelle doit être sauvegardée lorsqu'elle fonctionne correctement.

Pour pouvoir effectuer une sauvegarde complète de l'autorité de certification, il convient de sauvegarder la base de données CRL ainsi que la base de données de certificats émis à l'aide de la version 9.0 de NetIQ Certificate Server ou d'une version ultérieure.

Pour les autres plates-formes, ces deux bases de données se trouvent dans le même répertoire que les fichiers DIB eDirectory. Les valeurs par défaut de ces emplacements sont les suivantes :

Windows : c:\novell\nds\dibfiles
Linux : /var/opt/novell/edirectory/data/dib

Ces valeurs par défaut peuvent être modifiées lors de l'installation d'eDirectory.

Les fichiers de sauvegarde de la base de données sont crl.db, crl.01 ainsi que le répertoire crl.rfl. Les fichiers de sauvegarde de la base de données d'émission des certificats sont cert.db, cert.lck, cert.01 ainsi que le répertoire cert.rfl.

Le répertoire dib eDirectory doit faire partie d'un plan de sauvegarde standard et régulier.

Pour sauvegarder l'autorité de certification organisationnelle :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur Certificates (Certificats), puis sur Self Signed Certificate (Certificat auto-signé) ou Public Key Certificate (Certificat de clé publique). Les deux certificats sont inscrits dans le fichier lors de l'opération de sauvegarde.

NetIQ recommande de sélectionner le certificat auto-signé pour les certificats RSA et ECDSA séparément.
Cliquez sur Export (Exporter).

Un assistant s'ouvre et vous aide à exporter les certificats dans un fichier.
Choisissez d'exporter la clé privée, spécifiez un mot de passe avec 6 caractères alphanumériques ou plus à utiliser pour chiffrer le fichier PFX, puis cliquez sur Next (Suivant).
Cliquez sur le lien Save the exported certificate to a file (Enregistrer le certificat exporté dans un fichier), puis indiquez le nom et l'emplacement du fichier de sauvegarde.
Cliquez sur Enregistrer.
Cliquez sur Fermer.

Le fichier de sauvegarde chiffré est inscrit à l'emplacement spécifié. Il peut à présent être stocké à un emplacement sécurisé pour pouvoir être utilisé en cas d'urgence.

IMPORTANT :le fichier exporté doit être placé sur un support de sauvegarde et conservé en lieu sûr. Le mot de passe utilisé pour chiffrer le fichier doit être mis en mémoire ou stocké en lieu sûr pour veiller à ce qu'il soit disponible en cas de besoin, sans toutefois être accessible à d'autres utilisateurs.

Restauration d'une autorité de certification organisationnelle

Si l'objet Autorité de certification organisationnelle a été supprimé ou altéré, ou si le serveur hôte de l'autorité de certification organisationnelle a connu un échec irrérupérable, le bon fonctionnement de l'autorité de certification organisationnelle peut être restauré à l'aide d'un fichier de sauvegarde créé conformément aux indications de la section Sauvegarde d'une autorité de certification organisationnelle.

REMARQUE :si vous n'avez pas pu effectuer une sauvegarde de l'autorité de certification organisationnelle, celle-ci peut toujours être récupérée si NICI 2.x est installé sur le serveur et qu'une sauvegarde des informations de configuration NICI a été effectuée.

Pour pouvoir effectuer une restauration complète de l'autorité de certification, il convient de restaurer la base de données CRL ainsi que la base de données de certificats émis à l'aide de la version 9.0 de NetIQ Certificate Server.

Ces deux bases de données se trouvent dans le même répertoire que les fichiers DIB eDirectory. Les valeurs par défaut de ces emplacements sont les suivantes :

Windows : c:\novell\nds\dibfiles
Linux : /var/opt/novell/edirectory/data/dib

Ces valeurs par défaut peuvent être modifiées lors de l'installation d'eDirectory.

Les fichiers de restauration de la base de données CRL sont crl.db, crl.01 ainsi que le répertoire crl.rfl. Les fichiers de restauration de la base de données d'émission des certificats sont cert.db, cert.lck, cert.01 ainsi que le répertoire cert.rfl.

Le répertoire dib eDirectory doit faire partie d'un plan de sauvegarde standard et régulier.

Pour restaurer l'autorité de certification organisationnelle :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
(Conditionnel) Si l'objet Autorité de certification organisationnelle existe encore, vous devez le supprimer :
1. Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Supprimer l'objet.
2. Recherchez l'objet Autorité de certification organisationnelle, puis cliquez dessus.
3. Cliquez sur OK.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

La boîte de dialogue de création d'un objet Autorité de certification organisationnelle et l'Assistant qui crée cet objet apparaissent.
Dans la boîte de dialogue de création, spécifiez le serveur qui doit héberger l'autorité de certification organisationnelle et le nom de l'objet Autorité de certification organisationnelle.
Sélectionnez l'option Importer.

Sélectionnez les certificats RSA et ECDSA. NetIQ Certificate Server exige que les deux certificats portent le même nom d'objet.

IMPORTANT : NetIQ Certificate Server ne prend pas en charge l'importation de certificats d'autorité de certification auto-signé externes. Toutefois, il vous permet d'importer les certificats d'autorité de certification subordonnée.
Cliquez sur Suivant.
Dans la boîte de dialogue qui s'ouvre, cliquez sur Parcourir et sélectionnez le nom du fichier RSA et ECDSA.
Entrez le mot de passe utilisé pour chiffrer le fichier une fois la sauvegarde effectuée.
Cliquez sur OK.

La clé privée et les certificats de l'autorité de certification organisationnelle ont à présent été restaurés et l'autorité de certification est totalement opérationnelle. Le fichier peut maintenant être enregistré à nouveau pour une utilisation ultérieure.

IMPORTANT :veillez à protéger votre support de sauvegarde.

Déplacement de l'autorité de certification organisationnelle vers un autre serveur

Vous pouvez déplacer votre autorité de certification organisationnelle d'un serveur vers un autre à l'aide des procédures de sauvegarde et de restauration décrites dans les sections Sauvegarde d'une autorité de certification organisationnelle et Restauration d'une autorité de certification organisationnelle.

Pour pouvoir procéder au déplacement complet de l'autorité de certification, il convient de déplacer la base de données CRL ainsi que la base de données de certificats émis à l'aide de la version 3.2 ou version ultérieure de NetIQ Certificate Server.

Pour les autres plates-formes, ces deux bases de données se trouvent dans le même répertoire que les fichiers DIB eDirectory. Les valeurs par défaut de ces emplacements sont les suivantes :

Windows : c:\novell\nds\dibfiles
Linux : /var/opt/novell/edirectory/data/dib

Ces valeurs par défaut peuvent être modifiées lors de l'installation d'eDirectory.

Les fichiers à déplacer pour la base de données CRL sont crl.db, crl.01 ainsi que le répertoire crl.rfl. Les fichiers à déplacer pour la base de données d'émission des certificats sont cert.db, cert.lck, cert.01 ainsi que le répertoire cert.rfl.

Vérifiez que l'autorité de certification organisationnelle fonctionne.
Sauvegardez l'autorité de certification organisationnelle.
Supprimez l'objet Autorité de certification organisationnelle.
Restaurez l'autorité de certification organisationnelle sur le serveur de votre choix.

IMPORTANT :veillez à protéger votre support de sauvegarde.

Validation des certificats de l'autorité de certification organisationnelle

Si vous suspectez la présence d'un problème avec un certificat ou que vous pensez qu'il n'est peut-être plus valide, vous pouvez facilement le valider à l'aide d'iManager. Tous les certificats de l'arborescence eDirectory peuvent être validés, y compris ceux émis par des autorités de certification externes.

Le processus de validation des certificats comprend plusieurs vérifications des données contenues dans le certificat, ainsi que des données de la chaîne de certificats. Une chaîne de certificats est constituée d'un certificat d'autorité de certification racine et, éventuellement, de certificats d'une ou plusieurs autorités de certification intermédiaires.

Un résultat indiquant Valide signifie que tous les certificats de la chaîne se sont révélés valides. Les certificats sont considérés comme valides s'ils répondent à un certain nombre de critères prédéfinis. Ainsi, leur période de validité ne doit pas avoir expiré, ils ne doivent pas avoir été révoqués et ils doivent avoir été signés par une autorité de certification approuvée. Seuls les certificats avec une extension de point de distribution CRL ou une extension AIA OCSP sont vérifiés pour la révocation.

Un résultat indiquant Non valide signifie qu'un ou plusieurs certificats de la chaîne se sont révélés non valides ou que leur validité n'a pas pu être déterminée. Des informations supplémentaires sont fournies pour ces certificats et notamment quel certificat est considéré comme non valide et pourquoi. Cliquez sur Aide pour plus d'informations sur le motif.

Pour valider un certificat :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur Certificates (Certificats), puis sélectionnez le certificat de clé publique ou le certificat auto-signé.
Cliquez sur Validate (Valider).

L'état du certificat est indiqué dans le champ Certificate Status (État du certificat). Si le certificat n'est pas valide, un motif est indiqué.
Cliquez sur OK.

Suppression d'une autorité de certification organisationnelle

La suppression d'un objet Autorité de certification organisationnelle ne doit être effectuée qu'en cas d'absolue nécessité ou si vous restaurez l'autorité de certification organisationnelle à partir d'une sauvegarde (reportez-vous à la section Restauration d'une autorité de certification organisationnelle). La seule méthode sécurisée pour supprimer l'objet est de commencer par le sauvegarder pour pouvoir le restaurer par la suite.

Toutefois, il arrive parfois que l'autorité de certification organisationnelle doivent être supprimée, et non restaurée. Par exemple, lorsque vous fusionnez des arborescences, la nouvelle arborescence ne peut contenir qu'une seule autorité de certification organisationnelle ; l'autre doit être supprimée. Ou, lorsque le serveur hébergeant l'autorité de certification organisationnelle est endommagé et irréparable et qu'aucune sauvegarde de l'autorité de certification ou de la configuration NICI n'a été effectuée, la seule option consiste à supprimer l'autorité de certification et à recommencer.

Pour supprimer l'objet Autorité de certification organisationnelle :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Sauvegardez le certificat auto-signé sans la clé privée.
Créez un certificat de racine approuvée à l'aide du certificat auto-signé dans le conteneur CN=trusted roots.CN=security. Pour plus d'informations, reportez-vous à la section
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Supprimer l'objet.
Recherchez l'objet Autorité de certification organisationnelle, puis cliquez dessus.
Cliquez sur OK.

Déploiement d'une autorité de certification organisationnelle

Les deux problèmes importants qui doivent être pris en compte lors du remplacement des certificats de l'autorité de certification organisationnelle (CA) sont les suivants :

les types de certificats gérés ;
le motif de remplacement de l'autorité de certification.

Les objets Certificat de serveur (objets Matériel clé) contiennent un certificat de clé publique pour le serveur et le certificat de racine approuvée avec lequel a été signé le certificat de clé publique. Les certificats utilisateur sont stockés en tant qu'attributs sous l'objet Utilisateur et ne sont pas associés à la racine approuvée qui les a signés. Par conséquent, lors du remplacement du certificat de racine approuvée, les certificats de serveur restent valides, car la racine approuvée est toujours accessible. En revanche, les certificats utilisateur perdent immédiatement leur validité, sauf si le certificat de racine approuvée se trouve dans le conteneur de racines approuvées, auquel cas il pourra être localisé à des fins de validation.

L'autorité de certification peut être remplacée pour trois raisons :

L'autorité de certification est arrivée au terme de sa durée de validité. (L'autorité de certification arrive à expiration.)
L'autorité de certification a été endommagée.
Vous souhaitez remplacer le certificat de l'autorité de certification pour une raison quelconque (vous souhaitez une clé plus puissante, une stratégie de sécurité l'exige, vous souhaitez une signature par une autorité de certification externe, etc.).

Si l'autorité de certification expire, les certificats signés par cette autorité de certification vont expirer eux aussi. Une fois l'autorité de certification remplacée, chacun des certificats signés doit être recréé à l'aide de la nouvelle autorité.

Si l'autorité de certification a été endommagée, son remplacement entraîne la perte de validité des certificats utilisateur signés par l'ancienne autorité. Vous pouvez facilement les remplacer en exécutant la tâche de création des certificats par défaut dans iManager. Tous les certificats créés par défaut par Certificate Server sont recréés avec la nouvelle autorité de certification. Tous les certificats créés de manière personnalisée doivent être recréés manuellement avec la nouvelle autorité de certification. Pour plus d'informations sur la création de certificats par défaut, reportez-vous à la section Création d'objets Certificat de serveur par défaut.

Si vous souhaitez recréer l'autorité de certification pour toute autre raison, le stockage du certificat de racine approuvée dans le conteneur de racines approuvées maintient la validité des certificats utilisateur jusqu'à ce que vous puissiez les recréer à votre convenance.

Pour remplacer le certificat de racine approuvée :

Sauvegardez l'autorité de certification actuelle si vous souhaitez la récupérer par la suite.
Exportez le certificat de racine approuvée utilisé pour créer les certificats. Dans les anciens systèmes, il s'agit très probablement du certificat auto-signé.

Récemment, la possibilité de faire signer le certificat par une autorité de certification externe a été ajoutée. En cas de signature par une autorité de certification externe, exportez le certificat de clé publique. Tous les certificats de la chaîne doivent disposer de leur propre objet dans le conteneur de racines approuvées.

Si l'autorité de certification n'a pas été endommagée, créez un certificat de racine approuvée dans le conteneur de racines approuvées. De cette façon, les certificats utilisateur restent valides jusqu'à leur remplacement.
Supprimez l'ancienne autorité de certification organisationnelle. Pour plus d'informations sur la suppression d'une autorité de certification organisationnelle, reportez-vous à la section Suppression d'une autorité de certification organisationnelle.
Créez une nouvelle autorité de certification. Pour plus d'informations sur la création d'une autorité de certification organisationnelle, reportez-vous à la section Création d’un objet Autorité de certification organisationnelle.
Au besoin, recréez les certificats de serveur à l'aide de la tâche de création de certificats par défaut dans iManager. Pour plus d'informations sur la création de certificats par défaut via iManager, reportez-vous à la section Création d'objets Certificat de serveur par défaut.

Recréez les autres certificats de serveur qui ne sont pas générés par défaut.
Au besoin, recréez les certificats utilisateur à l'aide de la tâche de création de certificats utilisateur dans iManager ou en affichant les propriétés de l'utilisateur, en affichant les certificats, puis cliquez sur Nouveau.

25.4.2 Tâches concernant l'objet Certificat de serveur

Création d'objets Certificat de serveur

Cette tâche est décrite à la section Section 25.3.6, Création d'un objet Certificat de serveur.

Création d'objets Certificat de serveur par défaut

Le programme d'installation de Certificate Server crée des objets Certificat de serveur par défaut.

SSL CertificateDNS - nom_serveur
Un certificat pour chaque adresse IP configurée sur le serveur (IPAG xxx.xxx.xxx.xxx - nom_serveur)
Un certificat pour chaque nom DNS configuré sur le serveur (DNSAGwww.exemple.com - nom_serveur)

REMARQUE :eDirectory 9.0 ne crée pas automatiquement le certificat SSL CertificateIP. Le nom DNS du certificat SSL contient toutes les adresses IP répertoriées dans le champ Subject Alternative Name (Autre nom de l'objet). Lorsque vous tentez de créer ou de réparer des certificats par défaut à l'aide du plug-in PKI iManager, le certificat SSL CertificateIP n'est pas créé ni réparé par défaut. Toutefois, l'interface de plug-in propose une case à cocher que vous pouvez sélectionner afin de remplacer le comportement par défaut et forcer la création/réparation du certificat SSL CertificateIP.

eDirectory 9.0 crée automatiquement les certificats ECDSA si l'autorité de certification organisationnelle dispose d'un certificat ECDSA.

Si ces certificats sont altérés ou non valides pour une raison quelconque, ou si vous souhaitez simplement remplacer les certificats par défaut existants, vous pouvez utiliser l'assistant de création de certificats de serveur par défaut, comme indiqué dans la procédure suivante :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Default Certificates (Créer des certificats par défaut).
Recherchez et sélectionnez le ou les serveurs pour lesquels vous souhaitez créer des certificats par défaut, puis cliquez sur Next (Suivant).
Sélectionnez Yes (Oui) si vous souhaitez écraser les certificats de serveur par défaut existants ou sélectionnez No (Non) si vous souhaitez remplacer les certificats de serveur par défaut existants uniquement s'ils ne sont pas valides.
(Single Server only) (Un seul serveur uniquement) Si vous souhaitez utiliser l'adresse IP par défaut existante, sélectionnez cette option. Si vous souhaitez utiliser une autre adresse IP, sélectionnez cette option et spécifiez la nouvelle adresse IP.
(Single Server only) (Un seul serveur uniquement) Si vous souhaitez utiliser l'adresse DNS existante, sélectionnez cette option. Si vous souhaitez utiliser une autre adresse DNS, sélectionnez cette option et spécifiez la nouvelle adresse DNS.
Cliquez sur Suivant.
Passez en revue la page de résumé, puis cliquez sur Finish (Terminer).

Si vous souhaitez mieux contrôler la création de l'objet Certificat de serveur, vous pouvez le créer manuellement. Pour plus d'informations, reportez-vous à la section Création manuelle d'un objet Certificat de serveur.

Importation d'un certificat de clé publique dans un objet Certificat de serveur

L'importation d'un certificat de clé publique est effectuée après avoir créé une requête de signature de certificat (CSR) et que l'autorité de certification (CA) vous a renvoyé un certificat de clé publique signé. Cette tâche s'applique lorsque vous avez créé un objet Certificat de serveur à l'aide de l'option personnalisée associée à l'option de signature par une autorité de certification externe.

L'autorité de certification peut renvoyer le certificat de plusieurs manières. En règle générale, l'autorité de certification renvoie un ou plusieurs fichiers contenant chacun un certificat, ou un fichier contenant plusieurs certificats. Ces fichiers peuvent être des fichiers binaires utilisant le chiffrement DER (.der, .cer, .crt, .p7b) ou peuvent être des fichiers texte codés au format Base64 (.cer ou .b64).

Si le fichier contient plusieurs certificats, il doit utiliser le format PKCS#7 pour pouvoir être importé dans un objet Certificat de serveur. En outre, le fichier doit contenir l'ensemble des certificats à importer dans l'objet (le certificat de l'autorité de certification au niveau de la racine, les certificats des autorités de certification de niveau intermédiaire et le certificat de serveur).

Si l'autorité de certification renvoie plusieurs fichiers après signature du certificat, chaque fichier contient un certificat distinct qui doit être importé dans l'objet Certificat de serveur. En présence de plus de deux fichiers (un pour l'autorité de certification à la racine, un ou plusieurs pour les autorités de certification intermédiaires et un pour le certificat de serveur), ces fichiers doivent être regroupés dans un fichier PKCS#7 afin de pouvoir être importés dans un objet Certificat de serveur.

Plusieurs méthodes permettent de créer un fichier PKCS#7. L'une d'entre elles consiste à importer tous les certificats dans Internet Explorer. Une fois importés, le certificat de serveur et tous les certificats de la chaîne peuvent être exportés au format PKCS#7 à l'aide d'Internet Explorer. Pour des informations sur cette procédure, reportez-vous à la section Autorités de certification externes.

Certaines autorités de certification ne renvoient pas de certificat d'autorité de certification de niveau racine avec le certificat de serveur. Pour obtenir le certificat d'autorité de certification de niveau racine, contactez directement le fournisseur de l'autorité de certification ou appelez le support technique.

Pour importer les certificats dans un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Cliquez sur Import (Importer) en regard de l'objet Certificat de serveur que vous souhaitez modifier.
Recherchez et sélectionnez le fichier de données du certificat.
Recherchez et sélectionnez le fichier de données de la racine approuvée.

Si tous les certificats sont contenus dans un seul fichier, laissez ce champ vide.
Cliquez sur OK.

Exportation d'un certificat de racine approuvée ou d'un certificat de clé publique

Il existe différentes raisons d'exporter un certificat dans un fichier :

un client (tel qu'un navigateur Internet) peut l'utiliser pour vérifier la chaîne de certificats envoyée par une application codée ;
pour fournir une copie de sauvegarde du fichier.

Vous pouvez exporter le certificat dans deux formats de fichier : codage DER (.der) et Base64 (.b64). L'extension .crt peut également être utilisée pour les certificats au codage DER. L'exportation peut également être effectuée dans le Presse-papiers du système au format Base64 afin que le certificat puisse être collé directement dans une application codée.

Pour exporter un certificat de clé publique ou de racine approuvée :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'utilisateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Sélectionnez l'objet Certificat de serveur configuré pour utiliser l'application en question.
Cliquez sur Exporter.

Un assistant s'ouvre et vous aide à exporter le certificat dans un fichier.
Utilisez la liste déroulante pour spécifier le certificat à exporter.
Choisissez de ne pas exporter la clé privée.
Sélectionnez un format d'exportation (binaire DER ou texte Base64), puis cliquez sur Next (Suivant).
Cliquez sur Save the exported certificate to a file (Enregistrer le certificat exporté dans un fichier) et enregistrez le fichier à l'emplacement de votre choix.
Cliquez sur Close (Fermer) > Close >OK.
Utilisez le fichier selon vos besoins.

Par exemple, si vous souhaitez installer un certificat de racine approuvée dans un navigateur Internet Explorer, double-cliquez sur le fichier. Cette commande lance un assistant qui va accepter l'autorité de certification en tant que racine approuvée. L'acceptation de l'autorité de certification en tant que racine approuvée signifie que le navigateur accepte automatiquement les connexions SSL avec les services qui utilisent des certificats émis par cette autorité de certification.

Suppression d'un objet Certificat de serveur

Vous devez supprimer un certificat de serveur si vous pensez que la clé privée a été endommagée, si vous ne voulez plus utiliser la paire de clés ou si la racine de l'objet Certificat de serveur n'est plus approuvée.

IMPORTANT :une fois l'objet Certificat de serveur supprimé, vous ne pouvez plus le récupérer à moins d'avoir effectué une sauvegarde au préalable. Avant de supprimer cet objet, assurez-vous qu'il n'est plus nécessaire à aucune application codée. Vous pouvez recréer un objet Certificat de serveur, mais vous devez reconfigurer toutes les applications qui faisaient référence à l'ancien objet.

Pour supprimer un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Sélectionnez l'objet Certificat de serveur à supprimer.
Cliquez sur OK pour supprimer l'objet.

Affichage des propriétés d'un objet Certificat de serveur

Outre les propriétés et les droits eDirectory que vous pouvez visualiser avec tout objet NDS, vous pouvez également afficher les propriétés propres à l'objet Certificat de serveur, notamment celles qui concernent le certificat de clé publique et le certificat de racine approuvée qui lui est associé (le cas échéant).

Pour afficher les propriétés d'un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Cliquez sur le surnom de l'objet Certificat de serveur que vous souhaitez afficher.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Cliquez sur Annuler.

Affichage des propriétés du certificat de clé publique d'un objet Certificat de serveur

Pour afficher les propriétés du certificat de clé publique d'un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'utilisateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.<change the navigation>
Recherchez et cliquez sur l'objet Certificat de serveur que vous souhaitez afficher.
Cliquez sur OK.
Cliquez sur Certificat de clé publique.
- Si un certificat de clé publique est installé, la page de propriétés affiche le nom complet avec type de l'objet et de l'émetteur, ainsi que les dates de validité de ce certificat.
- Si le certificat de clé publique n'a pas encore été installé, la page de propriétés vous l'indique.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Pour afficher des informations supplémentaires sur un certificat de clé publique, cliquez sur le surnom du certificat pour afficher la page Détails.

La page Détails dispose des informations contenues dans le certificat de clé publique.
Cliquez sur Fermer > Annuler.

Affichage des propriétés du certificat de racine approuvée d'un objet Certificat de serveur

Pour afficher les propriétés du certificat de racine approuvée d'un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet <change navigation>.
Recherchez et sélectionnez l'objet Certificat de serveur que vous souhaitez afficher.
Cliquez sur OK.
Cliquez sur Certificat de racine approuvée.
- Si un certificat de racine approuvée est installé, la page de propriétés affiche le nom complet avec type de l'objet et de l'émetteur, ainsi que les dates de validité de ce certificat.
- Si le certificat de racine approuvée n'a pas encore été installé, la page de propriétés vous l'indique.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Pour afficher des informations supplémentaires sur un certificat de racine approuvée, cliquez sur le surnom du certificat pour afficher la page Détails.

La page Détails dispose des informations contenues dans le certificat de racine approuvée.
Cliquez sur Fermer > Annuler.

Sauvegarde d'un objet Certificat de serveur

NetIQ Certificate Server permet de stocker des certificats signés par des autorités de certification tierces dans des objets Certificat de serveur. Souvent, ces certificats sont très coûteux. Malheureusement, si une erreur irrécupérable se produit sur le serveur qui héberge les certificats, l'objet Certificat de serveur devient inutilisable. Pour éviter les désagréments de ce type, vous souhaiterez peut-être sauvegarder les certificats de serveur signés par des autorités de certification externes ainsi que leurs clés privées associées. Ensuite, en cas d'échec, vous pouvez utiliser le fichier de sauvegarde pour restaurer l'objet Certificat de serveur sur n'importe quel serveur de l'arborescence.

Le fichier de sauvegarde contient la clé privée du serveur, un certificat de clé publique, un certificat de racine approuvée et tous les certificats d'autorités de certification intermédiaires. Ces informations sont stockées au format PKCS#12 (également appelé PFX).

Un objet Certificat de serveur doit être sauvegardé lorsqu'il fonctionne correctement.

Pour sauvegarder un objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.<change navigation>
Recherchez et cliquez sur l'objet Certificat de serveur que vous souhaitez sauvegarder.
Cliquez sur OK.
Cliquez sur l'onglet Certificats.
Cliquez sur le certificat de racine approuvée ou de clé publique. Les deux certificats sont inscrits dans le fichier lors de l'opération de sauvegarde.
Cliquez sur Exporter.

Un assistant s'ouvre et vous aide à exporter les certificats dans un fichier.
À l'invite vous demandant si vous souhaitez exporter la clé privée, cliquez sur Yes (Oui), puis cliquez sur Next (Suivant).
Indiquez un mot de passe de 6 caractères alphanumériques ou plus à utiliser pour le chiffrement du fichier PFX.
Cliquez sur Suivant.
Cliquez sur Save the exported certificate to a file (Enregistrer le certificat exporté dans un fichier). Sélectionnez le nom et l'emplacement du fichier de sauvegarde.
Cliquez sur Close (Fermer).

Le fichier de sauvegarde chiffré est inscrit à l'emplacement spécifié. Il peut à présent être stocké à un emplacement sécurisé pour pouvoir être utilisé en cas d'urgence.

IMPORTANT :le fichier exporté doit être placé sur un support de sauvegarde et conservé en lieu sûr. Le mot de passe utilisé pour chiffrer le fichier doit être mis en mémoire ou stocké dans un coffre-fort pour veiller à ce qu'il soit disponible en cas de besoin, sans toutefois être accessible à d'autres utilisateurs.

Restauration d'un objet Certificat de serveur

Si l'objet Certificat de serveur a été supprimé ou altéré, ou si le serveur qui hébergeait l'objet Certificat de serveur a connu un échec irrécupérable, le bon fonctionnement de l'objet peut être restauré à l'aide d'un fichier de sauvegarde créé conformément aux indications de la section Sauvegarde d'un objet Certificat de serveur.

Si vous n'avez pas pu effectuer une sauvegarde de l'objet Certificat de serveur, vous pourrez peut-être néanmoins toujours l'utiliser si NICI 2.x est installé sur le serveur et qu'une sauvegarde des informations de configuration NICI a été effectuée. Pour plus d'informations sur la procédure de sauvegarde et de restauration des fichiers de configuration NICI, reportez-vous à la section Backing Up and Restoring NICI (Sauvegarde et restauration de NICI) du Novell International Cryptographic Infrastructure Administration Guide (Guide d'administration de Novell International Cryptographic Infrastructure).

Pour restaurer l'objet Certificat de serveur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Supprimez l'ancien objet Certificat de serveur.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create Server Certificate (Créer un certificat de serveur).

L'assistant de création d'un Certificat de serveur s'ouvre et crée l'objet.
Dans l'assistant, spécifiez le serveur devant détenir l'objet Certificat de serveur, et indiquez le surnom du certificat du certificat de serveur. La version 2.21 ou version ultérieure de Certificate Server doit être installée et en cours d'exécution sur le serveur.
Sélectionnez l'option Import (Importer), puis cliquez sur Next (Suivant).
Recherchez et sélectionnez le fichier de sauvegarde, entrez le mot de passe du fichier, puis cliquez sur Finish (Terminer).

La clé privée et les certificats du serveur ont à présent été restaurés et l'objet Certificat de serveur est totalement opérationnel. Si vous le souhaitez, le fichier de sauvegarde peut rester stocké pour une utilisation ultérieure.

IMPORTANT :veillez à protéger votre support de sauvegarde.

Objets Certificat de serveur et mise en grappe

Vous pouvez configurer des objets Certificat de serveur dans un environnement en grappe pour vous assurer que vos applications codées qui utilisent des objets Certificat de serveur puissent toujours y accéder. La fonction de sauvegarde et de restauration des objets Certificat de serveur vous permet de dupliquer le matériel de codage par clé de l'objet d'un noeud de la grappe sur tous les noeuds. Ce processus de codage par clé du matériel signé par une autorité de certification externe vous permet d'économiser de l'argent en vous permettant de dupliquer le matériel de codage pour un certificat de serveur, plutôt que d'exiger du nouveau matériel de codage pour chaque noeud de la grappe.

Pour configurer le fonctionnement des certificats de serveur dans un environnement en grappe :

Créez un certificat de serveur sur un serveur de la grappe, à l'aide de l'autorité de certification organisationnelle ou d'une autorité de certification externe de votre choix. Reportez-vous à la Section 25.3.6, Création d'un objet Certificat de serveur.

Lorsque vous créez des objets Certificat de serveur, la partie nom commun (CN) du nom de l'objet du certificat doit être un nom DNS ou l'adresse IP spécifique du service. À défaut, vous recevez un message d'avertissement du navigateur indiquant que le nom DNS ou l'adresse IP dans l'URL ne correspond pas à celui mentionné dans le certificat.

Si différents services ont des adresses IP ou des noms DNS qui diffèrent, vous devez créer un certificat de serveur pour chaque service.
Sauvegardez le matériel de codage par clé pour cet objet Certificat de serveur et restaurez-le en créant un objet Certificat de serveur avec le même nom de paire de clés que celui que vous avez créé à l'Étape 1 sur tous les autres serveurs de la grappe.

Reportez-vous à la section Sauvegarde d'un objet Certificat de serveur.

Validation d'un certificat de serveur

Pour valider un certificat :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > Server Certificates (Certificats de serveur).
Sélectionnez l'objet Certificat de serveur à valider.
Cliquez sur Validate (Valider).

L'état du certificat est indiqué dans le champ Certificate Status (État du certificat). Si le certificat n'est pas valide, un motif est indiqué.

Révocation d'un certificat de racine approuvée ou auto-signé

Il est parfois nécessaire de révoquer un certificat si la clé ou l'autorité de certification est endommagée, si le certificat a été remplacé par un autre, s'il a été supprimé de la liste de révocation, s'il a cessé de fonctionner, etc.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet Certificat de serveur que vous souhaitez modifier.
Cliquez sur OK.
Cliquez sur l'onglet Certificats.
Cliquez sur Certificat de racine approuvée ou Certificat auto-signé.
Sélectionnez le certificat, puis cliquez sur Révoquer.

L'assistant de révocation du certificat démarre. Suivez les instructions à l'écran pour révoquer le certificat.
Cliquez sur Finish (Terminer).

Déplacement d'un objet Certificat de serveur vers un autre serveur

Vous pouvez déplacer un objet Certificat de serveur d'un serveur vers un autre à l'aide des procédures de sauvegarde et de restauration décrites dans les sections Sauvegarde d'un objet Certificat de serveur et Restauration d'un objet Certificat de serveur.

Vérifiez que l'objet Certificat de serveur fonctionne.
Sauvegardez l'objet Certificat de serveur.
Restaurez l'objet Certificat de serveur sur le serveur de votre choix.

IMPORTANT :veillez à protéger votre support de sauvegarde.

Remplacement du matériel de codage par clé d'un objet Certificat de serveur

La clé privée et les certificats de l'objet Certificat de serveur peuvent être remplacés. Ils ne doivent toutefois être remplacés qu'à l'aide d'un fichier PFX généré en interne, créé au cours d'une sauvegarde d'un objet Certificat de serveur. Les fichiers PFX générés en externe peuvent aussi être utilisés s'ils contiennent la clé privée, le certificat de serveur et la chaîne de certificats entière. La clé et les certificats dans le fichier ne doivent pas forcément correspondre à ceux qui figurent dans l'objet ; les données dans le fichier écrasent la clé et les certificats de l'objet.

Le remplacement de la clé privée et des certificats de l'objet Certificat de serveur est une opération délicate. Si la clé et les certificats ne correspondent pas exactement à ceux qui figurent dans l'objet, cela revient à supprimer l'objet Certificat de serveur actuel et à en créer un nouveau. Reportez-vous à la section Sauvegarde d'un objet Certificat de serveur pour plus d'informations sur les conséquences de la suppression de l'objet.

Si la clé et les certificats correspondent à ceux de l'objet, le remplacement du matériel de codage par clé n'a aucun effet, si ce n'est de régénérer quelques attributs utilisés par les services d'authentification sécurisée.

Pour remplacer le matériel de codage par clé de l'objet Certificat de serveur :

Par mesure de précaution, sauvegardez l'objet Certificat de serveur ainsi que la clé privée. Reportez-vous à la section Sauvegarde d'un objet Certificat de serveur.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et sélectionnez l'objet Certificat de serveur que vous souhaitez modifier.
Cliquez sur OK.
Cliquez sur l'onglet Certificats.
Cliquez sur Certificat de racine approuvée ou Certificat auto-signé.

L'opération peut être démarrée à partir de ces deux pages. Elle remplace les deux certificats, ainsi que la clé privée et tous les autres certificats de la chaîne de certificats.
Sélectionnez le certificat, puis cliquez sur Remplacer.

Un assistant s'ouvre et vous aide à spécifier le fichier (de sauvegarde) PFX.
Recherchez et sélectionnez le fichier de sauvegarde, entrez le mot de passe du fichier, puis cliquez sur OK.

La clé privée et les certificats du serveur ont à présent été remplacés et le certificat de serveur est totalement opérationnel. Le fichier de sauvegarde doit rester stocké pour une utilisation ultérieure.

IMPORTANT :veillez à protéger votre support de sauvegarde.

25.4.3 Tâches relatives au certificat utilisateur

Création de certificats utilisateur

Cette tâche est décrite à la section Création d'un certificat utilisateur.

Création groupée de certificats utilisateur

Cette fonction vous permet de créer des certificats utilisateur pour plusieurs utilisateurs simultanément, à l'aide d'une série d'opérations.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create User Certificate (Créer un certificat utilisateur).

Un assistant s'ouvre et vous aide à créer le certificat utilisateur.
Recherchez et sélectionnez tous les utilisateurs pour lesquels vous souhaitez créer un certificat.
Suivez les instructions de l'assistant pour créer le certificat pour chaque utilisateur. Pour obtenir des informations précises sur les pages de l'assistant, cliquez sur Aide.

Importation d'un certificat de clé publique dans un objet Utilisateur (avec ou sans clé privée)

Vous pouvez importer un certificat de clé publique dans un objet Utilisateur (par exemple, un certificat signé par une autorité de certification tierce). Ce certificat peut utiliser l'un des deux types de fichiers suivants :

DER : contient un certificat de clé publique uniquement.
PFX ou PKCS#12 : contient un certificat de clé publique et une clé privée.

Une fois importé, le certificat est stocké dans l'objet Utilisateur et apparaît dans la liste des certificats disponibles.

REMARQUE :lorsque vous importez un certificat PKCS#12, seules la clé publique et la clé privée sont stockées dans l'objet Utilisateur. Aucun autre certificat n'est stocké. Les autres certificats de la chaîne de certificats de l'utilisateur doivent probablement être stockés dans le conteneur CN=Trusted Roots.CN=Security (créez un nouvel objet Racine approuvée pour chaque certificat de la chaîne).

Pour importer un certificat de clé publique dans un objet Utilisateur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dans lequel importer le certificat de clé publique.
Cliquez sur Nouveau.
Indiquez un surnom pour le certificat utilisateur.

Celui-ci doit être unique et doit vous permettre d'identifier le certificat facilement. Vous pouvez entrer jusqu'à 64 caractères dans le champ Certificate Nickname (Surnom du certificat).
Sélectionnez la méthode de création de l'importation, puis cliquez sur Next (Suivant).
Recherchez et sélectionnez le certificat à importer, puis cliquez sur OK.
(Conditionnel) Si vous importez un certificat avec une clé privée, entrez le mot de passe pour la clé privée, puis cliquez sur Next (Suivant).
Cliquez sur Finish (Terminer).

Le certificat est alors stocké dans l'objet Utilisateur et s'affiche dans la liste des certificats disponibles pour cet utilisateur.

Affichage des propriétés d'un certificat utilisateur

Outre les droits et propriétés eDirectory qui peuvent être affichées avec n'importe quel objet eDirectory, vous pouvez également afficher les propriétés spécifiques du certificat utilisateur et notamment l'émetteur, l'état du certificat, l'état de la clé privée ainsi que la période de validité.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez afficher les propriétés de certificat.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Cliquez sur le surnom du certificat pour afficher ses détails.
Cliquez sur Close (Fermer) lorsque vous avez terminé de les consulter.

Exportation d'un certificat utilisateur

Pour échanger des courriers électroniques en toute sécurité avec une autre personne, vous devez d'abord disposer du certificat de clé publique de cet utilisateur. L'une des manières de l'obtenir consiste à l'exporter à l'aide d'iManager. Ce certificat peut également être obtenu à l'aide de LDAP ou par courrier électronique.

Pour exporter votre certificat de clé publique personnel ou celui de tout autre utilisateur :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez exporter le certificat.
Sélectionnez le certificat, puis cliquez sur Export (Exporter).

Un assistant s'ouvre et vous aide à exporter le certificat utilisateur dans un fichier. Si vous êtes connecté sous l'identité de l'utilisateur qui détient le certificat, sélectionnez No (No) lorsque le système vous demande si vous souhaitez exporter la clé privée. Reportez-vous à la section Exportation d'un certificat utilisateur et de la clé privée.
Si vous souhaitez exporter la clé privée, sélectionnez Export private key (Exporter la clé privée) et indiquez un mot de passe pour la protéger.
Sélectionnez un format d'exportation si vous n'exportez pas la clé privée, puis cliquez sur Next (Suivant).
Cliquez sur Save the exported certificate to a file (Enregistrer le certificat exporté dans un fichier) et enregistrez le fichier à l'emplacement de votre choix.
Cliquez sur Close (Fermer) > Close.

Exportation d'un certificat utilisateur et de la clé privée

Pour pouvoir utiliser un certificat à des fins d'échange de courriers électroniques, d'authentification ou de chiffrement sécurisés, la clé privée et le certificat doivent être disponibles dans l'application codée. Vous devez exporter le certificat utilisateur et la clé privée et les placer à un emplacement accessible par l'application afin que l'application puisse les utiliser.

Les clés privées de l'objet Utilisateur appartiennent à cet utilisateur. Seul un utilisateur connecté sous l'identité de cet utilisateur peut exporter la clé privée. Aucun autre utilisateur, pas même l'administrateur réseau, n'est autorisé à exporter la clé privée d'un autre utilisateur.

Pour exporter votre clé privée personnelle et le certificat :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'utilisateur propriétaire du certificat.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez exporter le certificat.
Sélectionnez le certificat, puis cliquez sur Export (Exporter).

Un assistant s'ouvre et vous aide à exporter le certificat utilisateur dans un fichier.
Sélectionnez Export private key (Exporter la clé privée), indiquez un mot de passe pour protéger la clé privée, puis cliquez sur Next (Suivant).
(Facultatif) Cliquez sur Export the Certificate into the Browser (Exporter le certificat dans le navigateur).
Cliquez sur Close (Fermer) > Close.

Le fichier chiffré est inscrit à l'emplacement spécifié. Il peut à présent être importé dans une application codée.

IMPORTANT :le fichier exporté peut être conservé à des fins de sauvegarde. Dans ce cas, il doit être conservé en lieu sûr. Le mot de passe utilisé pour chiffrer le fichier doit être mis en mémoire ou stocké en lieu sûr pour veiller à ce qu'il soit disponible en cas de besoin, sans toutefois être accessible à d'autres utilisateurs.

Validation d'un certificat utilisateur

Un résultat indiquant Non valide signifie qu'un ou plusieurs certificats de la chaîne se sont révélés non valides ou que leur validité n'a pas pu être déterminée. Des informations supplémentaires sont fournies dans ce cas pour indiquer quel certificat est considéré comme non valide et pourquoi. Cliquez sur Aide pour plus d'informations sur le motif.

Pour valider un certificat :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez valider le certificat.
Sélectionnez le certificat utilisateur à valider.
Cliquez sur Validate (Valider).

L'état du certificat est indiqué dans le champ Certificate Status (État du certificat). Si le certificat n'est pas valide, un motif est indiqué.

REMARQUE :si le certificat utilisateur a été signé par une autorité de certification tierce, pour que la validation réussisse, la chaîne de certificats doit se trouver dans le conteneur de racines approuvées du conteneur de sécurité (CN=Trusted Roots.CN=Security). En règle générale, la chaîne de certificats se compose d'une seule autorité de certification au niveau de la racine ou combine une autorité de certification intermédiaire et une autorité de certification racine. Le nom du conteneur de racines approuvées doit être Trusted Roots et chaque certificat de la chaîne doit être stocké dans son propre objet Racine approuvée. Pour obtenir des instructions sur la création d'un conteneur de racines approuvées et d'objets Racine approuvée, reportez-vous aux sections Création d'un conteneur de racines approuvées et Création d'un objet Racine approuvée.

Lors de la validation de certificats utilisateur ou de certificats d'autorité de certification intermédiaires signés par des autorités de certification externes, le certificat de l'autorité de certification externe doit être stocké dans un objet Racine approuvée pour que la validation réussisse. L'objet Racine approuvée doit se trouver dans un conteneur de racines approuvées nommé Trusted Roots et doit se trouver dans le conteneur de sécurité.

Révocation d'un certificat utilisateur

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez valider le certificat.
Sélectionnez le certificat utilisateur à révoquer.
Cliquez sur Révoquer.

L'assistant de révocation du certificat démarre. Suivez les instructions à l'écran pour révoquer le certificat.
Cliquez sur Finish (Terminer).

Suppression d'un certificat utilisateur et de la clé privée

Si un certificat utilisateur n'est plus valide ou si vous pensez que la clé privée a été endommagée d'une quelconque façon, vous devrez peut-être supprimer le certificat utilisateur et la clé privée.

Avant de supprimer un certificat utilisateur et sa clé privée, vous devez révoquer le certificat utilisateur. Reportez-vous à la section Révocation d'un certificat utilisateur.

Pour supprimer un certificat utilisateur et sa clé privée :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant que propriétaire du certificat ou d'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats utilisateur).
Recherchez et sélectionnez un objet Utilisateur dont vous souhaitez supprimer le certificat.
Sélectionnez le certificat utilisateur à supprimer.
Cliquez sur Supprimer.

25.4.4 Auto-provisioning du certificat X.509

Cette section décrit la fonction d'auto-provisioning X.509.

Présentation

Lorsque vous créez un certificat X.509, de nombreuses informations importantes doivent être identifiées et vérifiées avant que l'autorité de certification (CA) émette le certificat. Les deux principales tâches sont les suivantes :

La vérification de l'identité de l'objet du certificat (vérification de l'identité de la personne ou de l'objet à qui le certificat est destiné).
La vérification de l'adéquation du nom d'objet du certificat (opération visant à vérifier que le nom d'objet est conforme à l'identité de la personne ou correspond à l'objet à qui le certificat est destiné).

Ces deux tâches peuvent durer très longtemps et sont souvent effectuées par un administrateur ou un groupe distinct.

NetIQ Certificate Server a toujours tiré parti des fonctionnalités de gestion sécurisée des identités d'eDirectory afin de réduire le temps et les efforts nécessaires à l'exécution de ces vérifications. iManager permet à un administrateur de créer des certificats utilisateur en bloc ; autrement dit, créer un certificat pour un grand nombre d'utilisateurs simultanément. L'autorité de certification vérifie que l'identité du certificat est liée au compte eDirectory, qui vérifie l'identité de l'objet du certificat. Toutefois, l'autorité de certification n'a pas vérifié l'adéquation du nom d'objet dans le certificat. De ce fait, la création de certificats avec NetIQ Certificate Server a toujours exigé que le logiciel ou la personne dispose des droits d'administrateur sur l'autorité de certification organisationnelle.

L'auto-provisioning permet à un utilisateur ou à un serveur de générer des certificats sans disposer de droits d'administrateur sur l'autorité de certification organisationnelle et sans intervention d'un administrateur ou d'un groupe chargé de l'administration, tout en préservant la sécurité de l'autorité de certification.

NetIQ Certificate Server vérifie l'identité de l'objet du certificat en vérifiant que l'identité du certificat est liée au compte eDirectory. L'autorité de certification permet vérifie également la conformité du nom de l'objet dans le certificat en le comparant aux informations dans eDirectory. L'autorité de certification organisationnelle parvient ainsi à tirer parti des fonctions sécurisées de gestion des identités d'eDirectory afin de réduire les tâches administratives tout en préservant la sécurité de l'autorité de certification.

Auto-provisioning des utilisateurs

Par le passé, la création d'un certificat utilisateur nécessitait des droits d'administrateur sur l'autorité de certification ainsi que des droits sur les attributs de l'objet Utilisateur. Grâce à l'auto-provisioning des utilisateurs, les droits d'administrateur sur l'autorité de certification ne sont pas nécessaires. Toutefois, les droits de lecture (R) et d'écriture (É) sur les attributs userCertificate, NDSPKI:UserCertificateInfo et SAS:SecretStore sont toujours nécessaires.

Si l'auteur de la requête de création du certificat dispose de droits d'administrateur sur l'autorité de certification, la création du certificat n'est pas affectée par l'activation ou non de l'auto-provisioning des utilisateurs. Si l'auteur de la requête de création du certificat ne dispose pas de droits d'administrateur sur l'autorité de certification, le nom de l'objet dans la requête est comparé avec le nom distinctif eDirectory de l'utilisateur ainsi que toutes les valeurs de l'attribut sasAllowableSubjectNames.

Si le nom d'objet correspond, l'autorité de certification vérifie que les autres noms d'objet sont conformes. Pour ce faire, l'autorité de certification vérifie qu'il n'y a pas plusieurs autres noms d'objet. Si le nom existe, il doit s'agir du type de nom de messagerie et il doit correspondre à un nom de messagerie configuré sur l'objet Utilisateur. Si toutes ces vérifications réussissent, il n'est pas nécessaire de disposer de droits d'administrateur sur l'autorité de certification pour créer le certificat.

Pour utiliser l'auto-provisioning des utilisateurs :

Vérifiez qu'eDirectory 9.0 et le plug-in NetIQ Certificate Server 9.0.0 ou version pour iManager sont installés.
Activez l'auto-provisioning des utilisateurs.
1. Lancez iManager.
2. Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant de droits d'administrateur sur l'autorité de certification organisationnelle.
3. Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
4. Sélectionnez Enable user self-provisioning (Activer l'auto-provisioning des utilisateurs).
5. Cliquez sur OK.
Configurez les droits hérités pour les utilisateurs en activant l'objet « [ceci] » :
1. Connectez-vous à iManager en tant qu'administrateur de l'application.
2. Cliquez sur l'icône Configurer.
3. Cliquez sur Serveur iManager > Configurer iManager.
4. Cliquez sur l'onglet Divers.
5. Sélectionnez Activer "[ceci]".
6. Cliquez sur Enregistrer.
  
  Vous devez ensuite ajouter des droits hérités.
Connectez-vous à iManager en tant qu'administrateur de l'autorité de certification.
Dans le menu Rôles et tâches, cliquez sur Droits > Modifier les ayants droit.
Recherchez et sélectionnez l'objet dont vous souhaitez que les droits soient hérités (par exemple, la racine de l'arborescence ou un conteneur), puis cliquez sur OK.
Cliquez sur Ajouter un ayant droit, sélectionnez l'objet « [ceci] », puis cliquez sur OK.
Cliquez sur Droits assignés.
Cliquez sur Ajouter une propriété.
Sélectionnez Afficher toutes les propriétés dans le schéma.
Sélectionnez l'attribut userCertificate, puis cliquez sur OK.
Sélectionnez les droits Lire et Écrire.
Sélectionnez Hériter.
Répétez les étapes 6 à 10 pour les autres attributs (NDSPKI:UserCertificateInfo et SAS:SecretStore).
Cliquez sur Terminé > OK.

Auto-provisioning du serveur

Par le passé, la création d'un certificat de serveur nécessitait des droits d'administrateur sur l'autorité de certification ainsi que sur le contexte dans lequel le certificat de serveur était créé. Grâce à l'auto-provisioning du serveur, les droits d'administrateur sur l'autorité de certification ne sont pas nécessaires. Toutefois, les droits d'administrateur sur le contexte dans lequel le certificat de serveur a été créé sont en revanche toujours nécessaires.

Pour créer le certificat de serveur, vous devez disposer des droits d'administrateur sur l'autorité de certification. La création du certificat n'est pas affectée par l'activation ou non de l'auto-provisioning. Si vous ne disposez pas de droits d'administrateur sur l'autorité de certification, activez l'option Require read rights to operate the CA (Exiger des droits de lecture pour faire fonctionner l'autorité de certification) pour que l'autorité de certification puisse être gérée à partir de la tâche le Configure Certificate Authority (Configurer l'autorité de certification) dans iManager. Des droits d'administrateur sur l'autorité de certification ne sont pas nécessaires si l'une des conditions suivantes est vraie :

Le nom de l'objet dans la requête est comparé avec le nom distinctif eDirectory du serveur et toutes les adresses IP ou DNS, telles que déterminées par une recherche SLP dans DNS ou dans eDirectory. Si le nom d'objet correspond à l'un des eux, l'autorité de certification n'exige pas de disposer de droits d'administrateur sur l'autorité de certification pour créer le certificat.
Les composants non-CN du nom d'objet ne correspondent aux composants non-CN du nom d'objet du certificat de l'autorité de certification.
L'autre nom d'objet n'a qu'un nom DNS/une adresse IP revérifié par l'autorité de certification par le biais de la recherche DNS inversée.

Les serveurs ne disposent pas, par défaut, de droits d'écriture sur l'attribut NDSPKI:Private Key de l'autorité de certification. Si l'option Require write rights to operate the CA (Exiger des droits d'écriture pour faire fonctionner l'autorité de certification) est activée dans la tâche Configure Certificate Authority (Configurer l'autorité de certification) dans iManager, vous devez accorder aux serveurs des droits d'écriture sur l'attribut NDSPKI:Private Key de l'autorité de certification.

REMARQUE :sachez que lorsque la vérification de l'état de santé PKI s'exécute sur un serveur pour lequel l'auto-provisioning est activé, les certificats de votre serveur peuvent être créés automatiquement (s'il n'en existe aucun) ou remplacés (s'ils ont expirés). Pour plus d'informations, reportez-vous à la Section 25.4.10, Vérification de l'état de santé PKI.

Pour utiliser l'auto-provisioning du serveur :

Vérifiez qu'eDirectory 9.0 et la version 3.2.2 (ou version ultérieure) du plug-in NetIQ Certificate Server pour iManager sont installés.

eDirectory 8.8 et le plug-in NetIQ Certificate Server 3.2.2 pour iManager sont inclus avec OES 2 et installés automatiquement lorsque vous sélectionnez des composants requis par eDirectory pendant l'installation d'OES 2.
Activez l'auto-provisioning du serveur :
1. Lancez iManager.
2. Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant de droits d'administrateur sur l'autorité de certification organisationnelle.
3. Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
4. Sélectionnez Enable server self-provisioning (Activer l'auto-provisioning du serveur).
5. Cliquez sur OK.

Auto-provisioning et tâche d'émission du certificat

La tâche d'émission du certificat permet de créer un certificat à l'aide d'une requête de signature de certificat PKCS#10. Cette tâche permet à l'utilisateur de créer un certificat non lié à un objet eDirectory. Si l'auteur de la requête de création du certificat dispose de droits d'administrateur sur l'autorité de certification, la création du certificat n'est pas affectée Si l'auteur de la requête de création du certificat ne dispose pas de droits d'administrateur sur l'autorité de certification, la requête de certificat est traitée comme une requête d'auto-provisioning des utilisateurs, mais l'auteur ne doit pas disposer de droits sur les attributs userCertificate, NDSPKI:UserCertificateInfo et SAS:SecretStore pour l'objet. Cela est dû au fait que le certificat n'est pas stocké dans eDirectory, de sorte que les droits sur l'objet ne sont pas nécessaires.

L'auto-provisioning des utilisateurs doit être activé pour que des certificats puissent être émis sans disposer les droits d'administrateur sur l'autorité de certification. Effectuez les étapes 1 à 3 de la section Auto-provisioning des utilisateurs.

Pour plus d'informations sur la tâche d'émission d'un certificat, reportez-vous à la section Émission d'un certificat de clé publique.

25.4.5 Utilisation des certificats eDirectory avec des applications externes

Certains clients utilisent des applications non-eDirectory qui nécessitent des certificats et des clés X.509 (par exemple, Apache ou OpenSSL). La plupart de ces applications sont configurées et prêtes à l'emploi avec des certificats auto-signés (sans valeur), qui servent uniquement à offrir une solution temporaire jusqu'à ce que l'application puisse être configurée avec les clés et certificats X.509 effectifs.

Malheureusement, nombreux sont les administrateurs à ne pas remplacer ces certificats auto-signés, souvent car cette manipulation prend trop de temps ou est trop compliquée. Qui plus est, les certificats X.509 sont conçus de telle manière à expirer régulièrement, et de ce fait, leur remplacement régulier est une tâche administrative permanente.

Les sections suivantes permettent de résoudre ce problème :

Fonctionnalité de vérification de l'état de santé PKI

Pour répondre à la demande des clients de fournir des applications non-eDirectory avec des certificats X.509, le code de vérification de l'état de santé PKI disponible dans NetIQ Certificate Server permet désormais d'exporter automatiquement des clés et les certificats X.509 vers le système de fichiers. De cette façon, les applications non-eDirectory peuvent tirer parti des certificats émanant d'eDirectory et gérés par eDirectory.

Lors de l'exécution de la vérification de l'état de santé PKI, tous les certificats existants sont automatiquement écrasés, y compris leurs clés privées. Toutefois, pour veiller à ce qu'aucun certificat et clés privées valides ne soient supprimées, la vérification de l'état de santé PKI détermine si les clés et certificats existants sont les mêmes que ceux configurés dans eDirectory. S'ils sont différents de ceux configurés dans eDirectory, la vérification de l'état de santé PKI crée une sauvegarde de ces fichiers avant de les écraser. De cette façon, les certificats obtenus auprès d'une source externe (par exemple, VeriSign *) ne sont pas supprimés.

Une fois la configuration créée pour le serveur sur l'objet SAS:Service, les clés et certificats associés au serveur spécifié sont automatiquement exportés vers le système de fichiers. Si les clés et les certificats sont remplacés ou mis à jour dans eDirectory (par exemple, si l'objet Certificat de serveur est supprimé et qu'un nouveau est créé avec le même nom), les nouvelles clés et les nouveaux certificats sont automatiquement exportés vers le système de fichiers lors de la prochaine exécution de vérification de l'état de santé PKI.

REMARQUE :le code de vérification de l'état de santé PKI disponible dans NetIQ Certificate Server s'exécute à chaque chargement/rechargement de NetIQ Certificate Server. Vous pouvez utiliser l'une des méthodes suivantes pour recharger NetIQ Certificate Server :

Redémarrez le serveur.
Redémarrez eDirectory.
Déchargez et chargez le serveur PKI manuellement.
Exécutez une réparation d'eDirectory (NDSRepair).

NetIQ Certificate Server s'arrête pendant la réparation et se recharge une fois eDirectory réparé.

Pour plus d'informations sur la vérification de l'état de santé PKI, reportez-vous à la Section 25.4.10, Vérification de l'état de santé PKI.

Avant que la vérification de l'état de santé PKI puisse exporter automatiquement les certificats et les clés X.509 vers le système de fichiers, l'objet SAS:Service doit être configuré. En effet, la vérification de l'état de santé PKI lit la configuration de l'objet SAS:Service. Pour plus d'informations sur la configuration de l'objet SAS:Service, reportez-vous à la section Configuration de l'objet SAS:Service pour exporter des certificats eDirectory.

Configuration de l'objet SAS:Service pour exporter des certificats eDirectory

Avant de pouvoir exporter un certificat de serveur eDirectory vers le système de fichiers, le serveur doit d'abord être configuré sur l'objet SAS:Service. Cette création de configuration peut être effectuée automatiquement ou manuellement, en fonction du serveur eDirectory que vous utilisez. Les sections suivantes décrivent ces options plus en détail :

Configuration manuelle de l'objet SAS:Service pour activer l'utilisation des certificats eDirectory

Configuration manuelle de l'objet SAS:Service pour activer l'utilisation des certificats eDirectory

Si vous n'utilisez pas OES 2 comme serveur eDirectory, vous devez configurer manuellement l'objet SAS:Service afin d'exporter les certificats eDirectory. Cette configuration doit spécifier le nom du certificat de serveur. Si plusieurs certificats de serveur doivent être exportés, il suffit de créer plusieurs configurations. Vous pouvez exporter le même certificat vers un autre chemin d'accès au fichier ou vous pouvez exporter un autre certificat vers un autre chemin d'accès au fichier.

REMARQUE :pour éviter les conflits de fichier, chaque configuration doit utiliser des chemins de fichier uniques. Les chemins de la clé publique et de la clé privée doivent être uniques et différents l'un de l'autre ainsi que de toute autre configuration.

Pour créer une configuration sur l'objet SAS:Service :

Dans iManager, dans la vue Rôles et tâches, cliquez sur NetIQ Certificate Access (Accès aux certificats NetIQ).
Cliquez sur SAS Service Object (objet Service SAS).
Sur la page de l'objet, cliquez sur l'icône Parcourir .
Recherchez et sélectionnez l'objet SAS:Service pour lequel vous souhaitez créer une configuration.
Cliquez sur l'objet SAS:Service.
Cliquez sur Nouveau.

La fenêtre de synchronisation des certificats de serveur s'affiche.
Dans le champ Certificat, recherchez et sélectionnez le certificat que vous voulez exporter.
Dans le champ Public key path (Chemin de la clé publique), indiquez le chemin dans lequel l'application pourra trouver et utiliser le certificat. Par exemple : C:/novell/nds/servercert.pem.
Dans le champ Private key path (Chemin de la clé privée), indiquez le chemin dans lequel l'application pourra trouver et utiliser la clé privée du certificat. Par exemple : C:/novell/nds/serverkey.pem.
Sélectionnez le type de clé que vous allez utiliser. Si vous exécutez OpenSSL, sélectionnez PKCS#8. Si vous exécutez Apache, sélectionnez PKCS#1.
Cliquez sur OK.

La configuration est créée. Le nom, le chemin, le chemin de la clé ainsi que le type de clé sont affichés.

Pour créer une autre configuration, répétez la procédure de l'Étape 6 à l'Étape 11.

Si vous utilisez un serveur OES comme serveur pour eDirectory, vous pouvez ensuite configurer automatiquement le serveur afin de créer une configuration sur l'objet SAS:Service.

REMARQUE :si l'utilisation des certificats eDirectory est activée pendant l'installation d'OES 2 (valeur par défaut), le code d'installation crée une configuration pour l'objet SSL CertificateDNS et les certificats et les clés sont exportés vers les fichiers suivants :

fichier de clé - /etc/ssl/servercerts/serverkey.pem

fichier de certificat - /etc/ssl/servercerts/servercert.pem

25.4.6 Tâches relatives à l'objet Racine approuvée

Création d'un conteneur de racines approuvées

Cette tâche est décrite à la section Création d'un conteneur de racines approuvées.

Création d'un objet Racine approuvée

Cette tâche est décrite à la section Création d'un objet Racine approuvée.

Affichage des propriétés d'un objet Racine approuvée

Outre les droits et propriétés eDirectory qui peuvent être affichés avec n'importe quel objet eDirectory, vous pouvez également afficher les propriétés spécifiques de l'objet Racine approuvée et notamment l'émetteur, l'état du certificat ainsi que la période de validité.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet Racine approuvée que vous souhaitez afficher.
Cliquez sur OK.
Pour afficher la chaîne de certificats, cliquez sur le signe plus (+) en regard du surnom du certificat pour développer la vue.
Cliquez sur le surnom du certificat pour afficher ses détails.
Cliquez sur Annuler.

Remplacement d'un certificat de racine approuvée

Cette tâche vous permet de remplacer un certificat de racine approuvée stocké dans l'objet Racine approuvée. Elle doit être effectuée si le certificat de racine approuvée est arrivé à expiration.

Vous pouvez remplacer un certificat de racine approuvée à partir de la page de propriétés de l'objet Racine approuvée.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet Racine approuvée que vous souhaitez remplacer.
Cliquez sur OK.
Sélectionnez le certificat, puis cliquez sur Remplacer.
Recherchez et sélectionnez le nouveau certificat de racine approuvée.
Cliquez sur OK.

Validation d'un objet Racine approuvée

Un résultat indiquant Non valide signifie qu'un ou plusieurs certificats de la chaîne se sont révélés non valides ou que leur validité n'a pas pu être déterminée. Des informations supplémentaires sont fournies dans ce cas pour indiquer quel certificat est considéré comme non valide et pourquoi. Cliquez sur Aide pour plus d'informations sur le motif.

Pour valider un certificat de racine approuvée :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet Racine approuvée que vous souhaitez valider.
Cliquez sur OK.
Sélectionnez le certificat, puis cliquez sur Valider.

L'état du certificat est indiqué dans le champ Certificate Status (État du certificat). Si le certificat n'est pas valide, un motif est indiqué.

REMARQUE :si le certificat dans l'objet n'est pas auto-signé, pour que la validation réussisse, sa chaîne de certificats doit se trouver dans le conteneur de racines approuvées du conteneur de sécurité (CN=Trusted Roots.CN=Security). En règle générale, la chaîne de certificats se compose d'une seule autorité de certification au niveau de la racine ou combine une autorité de certification intermédiaire et une autorité de certification racine. Le nom du conteneur de racines approuvées doit être Trusted Roots et chaque certificat de la chaîne doit être stocké dans son propre objet Racine approuvée. Pour obtenir des instructions sur la création d'un conteneur de racines approuvées et d'objets Racine approuvée, reportez-vous aux sections Création d'un conteneur de racines approuvées et Création d'un objet Racine approuvée.

Révocation d'un certificat de racine approuvée

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet Racine approuvée que vous souhaitez modifier.
Cliquez sur OK.
Sélectionnez le certificat, puis cliquez sur Révoquer.

L'assistant de révocation du certificat démarre. Suivez les instructions à l'écran pour révoquer le certificat.
Cliquez sur Finish (Terminer).

25.4.7 Tâches relatives aux listes de révocation de certificats

NetIQ Certificate Server fournit un système de gestion des listes de révocation de certificats (CRL). Ce système est facultatif, mais doit être implémenté si vous souhaitez être en mesure de révoquer les certificats créés par l'autorité de certification organisationnelle.

Une liste de révocation de certificats est une liste qui répertorie les certificats révoqués et le motif de leur révocation.

Création manuelle d'un conteneur CRL

Lors de l'installation de Certificate Server, un conteneur CRL est créé si l'utilisateur dispose des droits appropriés pour le créer. Dans le cas contraire, le conteneur CRL peut être créé manuellement par un utilisateur disposant des droits nécessaires une fois l'installation terminée.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).

Si un conteneur CRL existe déjà, vous êtes renvoyé à la page de propriétés de l'autorité de certification organisationnelle.

Si aucun conteneur CRL n'existe, un assistant démarre et crée un conteneur CRL et un objet Configuration CRL à placer dans le conteneur.
Suivez les instructions de l'assistant jusqu'à la fin.

Suppression d'un conteneur CRL

La suppression d'un conteneur CRL est possible, mais pas recommandée.

La règle générale consiste à ne pas supprimer un conteneur CRL, un objet Configuration CRL, un objet CRL ni un fichier CRL tant que la date d'émission du dernier certificat qui contient un point de distribution lié n'a pas expiré.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Administration de l'annuaire > Supprimer l'objet.
Recherchez et sélectionnez le conteneur CRL que vous souhaitez supprimer.
Cliquez sur OK > OK.

Création d'un objet Configuration CRL

Un objet Configuration CRL peut être créé dans le conteneur CRL. Il s'agit d'un objet qui contient les informations de configuration des objets Liste de révocation de certificats disponibles dans l'arborescence eDirectory. Normalement, l'arborescence ne compte qu'un seul objet Configuration CRL. Il se peut que vous ayez besoin de plusieurs objets Configuration CRL si vous créez ou déployez une nouvelle autorité de certification organisationnelle, mais un seul objet Configuration CRL peut être utilisé pour créer de nouveaux certificats.

L'objet Configuration CRL réside dans le conteneur CRL.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification), puis effectuez l'une des opérations suivantes :
- Si aucun conteneur CRL n'existe, un assistant démarre et crée un conteneur CRL et un objet Configuration CRL à placer dans le conteneur. Suivez les instructions de l'assistant jusqu'à la fin.
- Si un conteneur CRL existe, mais qu'aucun objet Configuration CRL n'existe, un assistant démarre et crée un objet Configuration CRL à placer dans le conteneur. Suivez les instructions de l'assistant jusqu'à la fin.
- Si un conteneur CRL et un objet Configuration CRL existent déjà, vous êtes renvoyé à la page de propriétés de l'autorité de certification organisationnelle. Passez à l'Étape 4.
Cliquez sur l'onglet CRL.
Cliquez sur Nouveau.
Entrez le nom du nouvel objet Configuration CRL, puis cliquez sur OK.
Suivez les instructions de l'assistant jusqu'à la fin.

Activation d'un objet Configuration CRL

Une arborescence eDirectory ne peut contenir qu'un seul objet Configuration CRL à la fois. Si vous avez plusieurs objets Configuration CRL, vous devez en choisir un à activer. Par défaut, le premier objet Configuration CRL créé est actif.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet CRL.
Sélectionnez un objet Configuration CRL, puis cliquez sur Make Active (Activer).
Cliquez sur OK ou sur Appliquer.

Affichage et modification des propriétés d'un objet Configuration CRL

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet CRL.
Cliquez sur le nom de l'objet Configuration CRL que vous souhaitez afficher ou modifier.
Cliquez sur OK ou sur Appliquer.

Assignation LDAP

Le type LDAP standard pour les listes de révocation de certificats limite la taille des CRL à 64 Ko. Pour modifier cette limite, vous devez créer des entrées de répertoire CRL avec des types définis par NetIQ. Pour pouvoir trouver les points de distribution LDAP, vous devez assigner les types LDAP standard aux types NetIQ LDAP en procédant comme suit :

Lancez iManager.
Connectez-vous à eDirectory en tant qu'administrateur disposant des droits appropriés.
Dans le menu Rôles et tâches, sélectionnez LDAP > Options LDAP.
Cliquez sur l'onglet Afficher les groupes LDAP, puis sélectionnez le groupe LDAP à assigner.
Cliquez sur l'onglet Général, sélectionnez la page Assignation d'attribut et apportez les modifications suivantes :
1. L'assignation par défaut de l'attribut LDAP primaire certificateRevocationList;binary (et de l'attribut secondaire certificateRevocationList) à l'attribut eDirectory certificateAuthorityList doit être modifiée en l'attribut eDirectory ndspkiCertificateRevocationList (autrement dit, modifiez l'attribut eDirectory certificateAuthorityList en ndspkiCertificateRevocationList).
2. L'assignation par défaut de l'attribut LDAP primaire authorityRevocationList;binary (et de l'attribut secondaire authorityRevocationList) à l'attribut eDirectory authorityRevocationList doit être modifiée en l'attribut eDirectory ndspkiAuthorityRevocationList (autrement dit, modifiez l'attribut eDirectory authorityRevocationList en ndspkiAuthorityRevocationList).
3. L'assignation par défaut de l'attribut LDAP primaire deltaRevocationList;binary (et de l'attribut secondaire deltaRevocationList) à l'attribut eDirectory deltaRevocationList doit être modifiée en l'attribut eDirectory ndspkiDeltaRevocationList (autrement dit, modifiez l'attribut eDirectory deltaRevocationList en ndspkiDeltaRevocationList).
Cliquez sur OK.
Dans le menu Rôles et tâches, sélectionnez LDAP > Options LDAP.
Cliquez sur l'onglet Afficher les serveurs LDAP, puis sélectionnez le serveur qui héberge le point de distribution LDAP.
Cliquez sur l'onglet Général, puis sélectionnez la page Informations.
Cliquez sur le bouton Rafraîchir.

Le service LDAP redémarre et commence à utiliser l'assignation appropriée pour les attributs CRL.

Pour plus d'information sur la gestion de LDAP, reportez-vous au Section 14.0, Configuration des services LDAP pour NetIQ eDirectory.

Emplacement du point de distribution HTTP

Lorsque vous configurez Certificate Server pour qu'il utilise un point de distribution HTTP, veillez à spécifier un emplacement accessible aux utilisateurs qui souhaitent valider des certificats. Si un utilisateur ne peut pas localiser la CRL d'un certificat qui contient un point de distribution, le certificat est considéré comme non valide. Le point de distribution doit se trouver dans un répertoire disponible sur le serveur Web spécifié par l'adresse HTTP du point de distribution. Si ce répertoire ne se trouve pas sur le même serveur qui héberge l'autorité de certification, la CRL doit être déplacée manuellement, par le biais d'un script ou créé sur un répertoire monté.

Suppression d'un objet Configuration CRL

Bien que la suppression d'un objet Configuration CRL soit possible, elle n'est pas recommandée. Lorsqu'un objet Configuration CRL est supprimé, le serveur s'arrête et crée les fichiers CRL. Si un fichier CRL existe déjà à l'emplacement indiqué dans l'objet CRL, la validation de certificat continue de l'utiliser jusqu'à ce qu'il arrive à expiration. Une fois arrivé à expiration, la validation de tous les certificats disposant d'un point de distribution CRL faisant référence à ce fichier CRL échoue.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Administration de l'annuaire > Supprimer l'objet.
Recherchez et sélectionnez l'objet Configuration CRL à supprimer.
Cliquez sur OK > OK.

Création d'un objet CRL

Cette tâche vous permet de créer un objet CRL (cRLDistributionPoint) pour stocker des CRL tierces dans eDirectory. Cet objet peut être créé dans n'importe quel conteneur de l'arborescence eDirectory. Toutefois, les objets CRL NetIQ se trouvent généralement dans un objet Configuration CRL et ne doivent pas être créés manuellement. Un objet CRL est créé automatiquement pour vous lorsque vous créez un objet Configuration CRL.

L'objet CRL héberge un fichier CRL qui contient des informations détaillées sur la liste de révocation des certificats. Pour chaque objet CRL NetIQ, un fichier CRL est automatiquement créé et mis à jour chaque fois que le serveur en émet un nouveau. Pour les autres objets CRL, vous devez importer un fichier CRL à partir d'une autorité de certification tierce.

REMARQUE :l'appellation Point de Distribution CRL est utilisée de différentes manières. Il s'agit du nom d'objet Schéma eDirectory pour l'objet CRL et désigne de manière générale, l'emplacement où les informations de la CRL sont publiées.

Pour créer un objet CRL :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Serveur de certificats NetIQ > Create CRL Object (Créer un objet CRL).
Entrez un nom pour l'objet et indiquez le contexte dans lequel vous souhaitez placer l'objet.
Collez une copie de la liste de révocation dans le champ ou lisez-la à partir d'un fichier CRL.
Cliquez sur Terminer pour créer l'objet.

Exportation d'un fichier CRL

Vous pouvez exporter la liste de révocation de certificats contenue dans l'objet Point de Distribution CRL vers un fichier.

Pour exporter un fichier CRL NetIQ :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet CRL.
Cliquez sur le nom de l'objet Configuration CRL, puis cliquez sur Détails.
Cliquez sur Exporter.
Sélectionnez un format de sortie, puis cliquez sur Suivant.
Pour enregistrer la CRL exportée dans un fichier, cliquez sur Enregistrer, puis spécifiez l'emplacement du fichier.
Cliquez sur OK > OK.

Pour exporter un fichier CRL tiers :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Administration de l'annuaire > Modifier un objet.
Recherchez et sélectionnez l'objet Configuration CRL, puis cliquez sur OK.
Cliquez sur Exporter.
Sélectionnez un format de sortie, puis cliquez sur Suivant.
Pour enregistrer la CRL exportée dans un fichier, cliquez sur Enregistrer, puis spécifiez l'emplacement du fichier.
Cliquez sur OK > OK.

Remplacement d'un fichier CRL

Vous pouvez remplacer un fichier CRL, mais cette opération n'est pas recommandée.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet CRL.
Cliquez sur le nom de l'objet Configuration CRL, puis cliquez sur Détails.
Cliquez sur Remplacer.
Cliquez sur OK pour continuer.
Recherchez et sélectionnez le nouveau fichier CRL.
Cliquez sur OK.

Si un fichier CRL n'existe pas dans l'objet Configuration CRL, le bouton Importer s'affiche.

Affichage des propriétés d'un objet CRL

Pour afficher les propriétés d'un objet CRL NetIQ :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Serveur de certificats NetIQ > Configure Certificate Authority (Configurer l'autorité de certification).
Cliquez sur l'onglet CRL.
Cliquez sur le nom de l'objet Configuration CRL, puis cliquez sur Détails.

Vous pouvez à présent afficher les propriétés de l'objet CRL.
Après les avoir consultées, cliquez sur OK ou Appliquer.

Pour afficher les propriétés d'un objet CRL tiers :

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, sélectionnez Administration de l'annuaire > Modifier un objet.
Recherchez et cliquez sur l'objet CRL que vous souhaitez afficher, puis cliquez sur OK.
Cliquez sur Éditer.

Vous pouvez à présent afficher les propriétés de l'objet CRL.
Après les avoir consultées, cliquez sur OK ou Appliquer.

Suppression d'un objet CRL

Si vous supprimez un objet CRL, il sera recréé la prochaine fois que le serveur génèrera le fichier CRL. Si vous supprimez un objet CRL créé et importé à l'aide d'iManager, il est définitivement supprimé et tous les certificats qui y font référence sont considérés comme non valides.

Lancez iManager.
Connectez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

Pour afficher les droits appropriés pour cette tâche, reportez-vous à la Section 25.6, Droits sur les entrées nécessaires à la réalisation des tâches.
Dans le menu Rôles et tâches, cliquez sur Administration de l'annuaire > Supprimer l'objet.
Recherchez et cliquez sur l'objet CRL que vous souhaitez supprimer.
Cliquez sur OK > OK.

25.4.8 Tâches relatives à eDirectory

Résolution de plusieurs conteneurs de sécurité, autorités de certification organisationnelles, conteneurs KAP et objets W0

NetIQ Certificate Server peut être installé sur plusieurs serveurs d'une arborescence eDirectory. Toutefois, pour lui permettre de fonctionner correctement, l'arborescence ne peut contenir qu'un seul conteneur de sécurité, une seule autorité de certification organisationnelle, un conteneur KAP et un objet W0.

Si vous installez NetIQ Certificate Server sur plusieurs serveurs d'une arborescence eDirectory, vous devez autoriser eDirectory à effectuer des réplications entre chaque installation de NetIQ Certificate Server. À défaut, votre installation sur un autre serveur risque de ne pas reconnaître que l'arborescence héberge déjà un conteneur de sécurité, une autorité de certification organisationnelle, un conteneur KAP et un objet W0, et pourrait recréer ces objets sur un autre serveur de la même arborescence eDirectory.

Les cas de figure suivants décrivent les scénarios possibles et comment les résoudre.

Si la même arborescence eDirectory héberge deux ou plusieurs conteneurs de sécurité et que chacun contient une autorité de certification organisationnelle et un conteneur KAP avec un objet W0, n'émettez aucun certificat. Contactez le support technique pour vous aider à remédier à cette situation.
Si la même arborescence eDirectory héberge un conteneur de sécurité qui contient deux conteneurs KAP, n'émettez aucun certificat. Contactez le support technique pour vous aider à remédier à cette situation.
Si la même arborescence eDirectory héberge un conteneur de sécurité qui contient deux autorités de certification organisationnelles et un conteneur KAP avec un objet W0, supprimez tous les certificats de serveur et utilisateur émis par les deux autorités de certification organisationnelles. Supprimez ensuite les deux autorités de certification et créez une nouvelle autorité de certification organisationnelle. Émettez de nouveaux certificats de serveur et utilisateur en fonction de vos besoins.
Si la même arborescence eDirectory héberge deux ou plusieurs conteneurs de sécurité et que chacun contient une autorité de certification organisationnelle, mais qu'un seul héberge un conteneur KAP avec un objet W0, supprimez tous les certificats de serveur et utilisateur émis par toutes les autorités de certification organisationnelles. Supprimez tous les conteneurs de sécurité à l'exception de celui hébergeant le conteneur KAP et l'objet W0. Si le nom du conteneur de sécurité restant n'est pas Security, renommez-le Security. Émettez de nouveaux certificats de serveur et utilisateur en fonction de vos besoins.
Si la même arborescence eDirectory héberge deux ou plusieurs conteneurs de sécurité et qu'un seul contient une autorité de certification organisationnelle et un conteneur KAP avec un objet W0, supprimez tous les conteneurs de sécurité à l'exception de celui hébergeant le conteneur KAP et l'objet W0. Si le nom du conteneur de sécurité restant n'est pas Security, renommez-le Security.

Restauration ou recréation d'un conteneur de sécurité

Si vous supprimez le conteneur de sécurité, vous ne pouvez pas créer d'autorité de certification organisationnelle tant que vous n'avez pas restauré ou recréé le conteneur de sécurité.

Pour restaurer le conteneur de sécurité, vous devez restaurer la partition eDirectory hébergeant le conteneur de sécurité.

Pour recréer le conteneur de sécurité, utilisez l'une des deux méthodes suivantes :

À l'aide d'iManager, cliquez sur Administration de l'annuaire > Créer un objet. Cliquez sur le conteneur de sécurité de l'arborescence, puis cliquez sur OK. Le nom du conteneur doit être Security.
Réinstallez NetIQ Certificate Server sur n'importe quel serveur de l'arborescence eDirectory.

Restauration ou recréation d'objets KAP et W0

Ne supprimez pas les objets KAP ni W0. Tous les certificats utilisateur précédemment créés ne seraient alors plus valides. Si vous avez supprimé l'un de ces objets, accédez au site Web du support Novell et recherchez le document TID #3032354, How to Restore or Recreate KAP and W0 Object (Comment restaurer ou recréer des objets KAP et W10) pour plus d'informations sur la procédure de résolution de ce problème. N'essayez pas de procéder à d'autres installations de NetIQ Certificate Server, Single Sign-on, NMAS ou eDirectory tant que les problèmes n'ont pas été résolus.

25.4.9 Tâches relatives aux applications

Cette section décrit comment configurer des applications codées pour qu'elles utilisent des certificats NetIQ.

Certaines informations de cette section sont anciennes, mais très pratiques. Pour obtenir les dernières informations sur l'utilisation de certificats avec vos applications codées, reportez-vous à la documentation correspondante.

La procédure générale pour activer la sécurisation des courriers électroniques pour les applications est la suivante :

Exportez le certificat auto-signé de votre autorité de certification organisationnelle (reportez-vous à la section Exportation d'un certificat auto-signé d'une autorité de certification organisationnelle), votre certificat utilisateur et la clé privée correspondante dans un fichier .pfx (reportez-vous à la section Exportation d'un certificat utilisateur et de la clé privée).
Importez le fichier .pfx dans votre client de messagerie.
Configurez votre client de messagerie électronique de façon à sécuriser vos courriers électroniques.

Pour créer une connexion SSL à un serveur sur Internet à l'aide de votre navigateur, vous devez approuver l'autorité de certification qui a signé les certificats utilisateur ou de serveur. À défaut, une erreur risque de s'afficher dans votre application. Certaines applications affichent un avertissement vous permettant d'accepter ou de rejeter le certificat de serveur ou utilisateur dont l'autorité de certification n'a pas encore été approuvée pour l'application. Les certificats de serveur et utilisateur signés par l'autorité de certification organisationnelle d'une société génèrent toujours ce type d'avertissement et d'erreur. Cela est dû au fait que l'autorité de certification organisationnelle n'est pas répertoriée comme autorité de certification approuvée par votre application. Ces avertissements et erreurs peuvent être évités en installant le certificat auto-signé de l'autorité de certification organisationnelle dans votre application. L'installation de l'autorité de certification organisationnelle dans votre navigateur l'ajoute automatiquement comme autorité de certification approuvée.

Pour accepter l'autorité de certification organisationnelle en tant qu'autorité de certification approuvée dans votre application :

Exportez le certificat auto-signé de votre autorité de certification organisationnelle (reportez-vous à la section Exportation d'un certificat auto-signé d'une autorité de certification organisationnelle).

REMARQUE :les navigateurs Internet reconnaissent les certificats au format .der ou .crt.
Importez le certificat dans votre navigateur en suivant les instructions fournies par la documentation relative au navigateur.

25.4.10 Vérification de l'état de santé PKI

NetIQ Certificate Server intègre un processus qui maintient l'état de santé et l'intégrité des composants de Certificate Server. Ce processus est appelé PKI Health Check (Vérification de l'état de santé PKI) et s'exécute dans les cas suivants :

au redémarrage du serveur ;
lors de l'affichage d'eDirectory ;
à la fin de l'exécution de DSRepair.

Lors de l'exécution de la vérification de l'état de santé PKI, les tâches suivantes sont effectuées :

Tableau 25-1 Tâches de vérification de l'état de santé PKI

Tâche	Fonction
Vérifier le lien du serveur vers l'objet Service SAS	Cette tâche vérifie s'il existe un lien entre l'objet Serveur et un objet SAS:Service. Si le lien existe, la tâche vérifie que le nom de l'objet est correct et qu'il se trouve dans le même contexte que le serveur. Si le lien n'existe pas, la tâche recherche si un objet portant le nom correct existe dans le même contexte que le serveur. Si un tel objet existe, la tâche crée un lien entre le serveur et l'objet.
Vérifier l'objet Service SAS	Cette tâche vérifie qu'un objet SAS:Service existe. S'il n'existe pas, la tâche en crée un et génère un lien entre l'objet Serveur et le nouvel objet. La tâche vérifie ensuite si l'objet SAS:Service dispose des droits eDirectory nécessaires. À défaut, la tâche tente d'octroyer à l'objet SAS:Service les droits nécessaires.
Vérifier les liens vers les objets Matériel clé	Cette tâche lit la liste des objets Certificat de serveur (ou des objets Matériel clé) qui sont liés à l'objet SAS:Service. Elle vérifie que le nom des objets Matériel clé sont tous corrects et tente de résoudre les noms incorrects. La tâche vérifie également que les objets Matériel clé se trouvent tous dans le même contexte que l'objet Serveur et tente de les déplacer vers le contexte approprié lorsque ce n'est pas le cas.
Vérifier les certificats de serveur (KMO)	Cette tâche lit tous les noms des objets Matériel clé qui se trouvent dans le même conteneur que l'objet Serveur et les place dans la liste. La tâche effectue ensuite les opérations suivantes pour chaque objet Matériel clé de la liste : Tente de compléter les attributs NDSPKI:Not Before et NDSPKI:Not After avec les dates de validité du certificat. Vérifie si Public possède le droit de lecture sur l'attribut Serveur hôte. Vérifie si le lien de l'objet Matériel clé vers un serveur est un lien en amont. Si le lien en amont est destiné à un autre serveur, la tâche ignore l'objet Matériel clé et le supprime de sa liste. Lit la clé privée et tente de la désencapsuler.
Revérifier les liens vers les objets Matériel clé	Cette tâche lit la liste des objets Certificat de serveur (ou des objets Matériel clé) qui sont liés à l'objet SAS:Service. Elle compare chaque objet Matériel clé de cette liste à la liste créée au cours de la tâche Vérifier les certificats de serveur (KMO). À l'aide des contrôles de la tâche Vérifier les certificats de serveur (KMO), la tâche détermine la présence éventuelle de problèmes concernant les certificats liés et les détache si l'objet Matériel clé devient inutilisable. La tâche détermine également si des objets Matériel clé détachés peuvent être utilisées par ce serveur et, le cas échéant, les lie.
Créer des certificats par défaut	Cette tâche détermine si l'auto-provisioning du serveur est activé au niveau de l'objet Autorité de certification organisationnelle. Si l'auto-provisioning du serveur n'est pas activé, cette étape est ignorée. Si l'auto-provisioning du serveur est activé, la tâche appelle l'API NPKICreateDefaultCertificates(). Cette API crée ou remplace le certificat SSL CertificateDNS dans les cas suivants : Le certificat n'existe pas. Le certificat n'est pas arrivé à expiration ou sur le point d'expirer. Le nom d'objet du certificat ne correspond pas aux adresses IP et DNS par défaut configurées pour le serveur. REMARQUE :eDirectory 9.0 ne crée pas automatiquement le certificat SSL CertificateIP. Le nom DNS du certificat SSL contient toutes les adresses IP répertoriées dans le champ Subject Alternative Name (Autre nom de l'objet). En outre, cette API acquiert toutes les adresses IP et DNS configurées pour le serveur et crée et/ou remplace un certificat pour chacune d'elles, par exemple IP AG adresse_ip ou IP DNS nom_dns dans les cas suivants : Les certificats n'existent pas. Les certificats sont arrivés à expiration ou sur le point d'expirer.
Synchroniser les certificats pour les services externes	Cette tâche lit la configuration de l'objet SAS:Service. Pour chaque entrée configurée, la tâche acquiert les certificats et la clé privée à partir de l'objet Matériel clé spécifié. Si le répertoire spécifié n'existe pas, la tâche tente de le créer. La tâche désencapsule alors la clé privée et la convertit au format clé brute spécifié. La tâche compare chaque clé privée existante et les fichiers de certificat avec ceux de l'objet Matériel clé spécifié. Si les clés et certificats ne sont pas identiques, la tâche effectue une sauvegarde de la clé privée et des fichiers de certificat existants, puis les remplace par la clé privée et les certificats. Les clés sont écrites au format PEM.
Exporter le certificat de l'autorité de certification eDirectory vers le système de fichiers	Le déroulement de cette tâche dépend de votre système d'exploitation. Les fichiers SSCert.der et SSCert.pem contiennent le certificat RSA de l'autorité de certification de l'organisation. Si l'autorité de certification de l'organisation possède un certificat ECDSA, eDirectory exporte ce certificat vers les fichiers SSECCert.der et SSECCert.pem et les enregistre dans le même répertoire que les fichiers SSCert.der et SSCert.pem. Windows : vérifie si les fichiers SSCert.der et SSCert.pem dans le répertoire de travail PKI contiennent le même certificat que celui de l'autorité de certification de l'organisation dans eDirectory. Tente de remplacer les fichiers s'ils ne sont pas identiques. Le répertoire de travail PKI par défaut est c:\Novell\NDS\DIBFiles\CertServ\ Linux (pas OES Linux) : vérifie si les fichiers SSCert.der et SSCert.pem dans le répertoire de données eDirectory contiennent le même certificat que celui de l'autorité de certification de l'organisation dans eDirectory. Tente de remplacer les fichiers s'ils ne sont pas identiques. Le répertoire de données eDirectory par défaut est /var/opt/novell/eDirectory/data OES Linux : vérifie si les fichiers /etc/opt/novell/certs/SSCert.der et /etc/opt/novell/certs/SSCert.pem contiennent le même certificat que celui de l'autorité de certification de l'organisation dans eDirectory. Si les certificats ne sont pas identiques, la tâche tente de remplacer les fichiers en ajoutant le certificat de l'autorité de certification de l'organisation dans le répertoire /etc/ssl/certs, puis en exécutant le programme c_rehash. Toutefois, avant de remplacer les fichiers, la tâche crée des sauvegardes de tous les certificats existants.