17.1 Gestion de l'autorité de certification

Par défaut, la procédure d'installation de NetIQ Certificate Server crée l'autorité de certification organisationnelle (CA) pour vous. Vous êtes invité à spécifier le nom d'une autorité de certification organisationnelle. Lorsque vous cliquez sur Terminer, l'autorité de certification organisationnelle est créée avec les paramètres par défaut et placée dans le conteneur de sécurité. Si vous souhaitez mieux contrôler la création de l'autorité de certification organisationnelle, vous pouvez la créer manuellement à l'aide du portail Identity Console. En outre, si vous supprimez l'autorité de certification organisationnelle, vous devrez la recréer.

Grâce au module Autorité de certification, vous pouvez effectuer les tâches suivantes :

17.1.1 Création d'un objet Autorité de certification organisationnelle

Pour créer un objet Autorité de certification organisationnelle, procédez comme suit :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. S'il n'existe aucun objet Autorité de certification organisationnelle, la boîte de dialogue de création d'un objet Autorité de certification organisationnelle s'ouvre, de même que l'assistant correspondant qui crée l'objet. Suivez les instructions à l'écran pour créer l'objet.

    REMARQUE :assurez-vous que le chemin d'accès au fichier CRL spécifié ici correspond au chemin d'installation d'eDirectory.

  3. Une fois l'autorité de certification créée, il est recommandé d'effectuer une sauvegarde de la paire de clés publique/privée de l'autorité de certification et de la conserver en lieu sûr. Pour plus d'informations, reportez-vous à la section Sauvegarde des certificats de l'autorité de certification organisationnelle.

17.1.2 Sauvegarde des certificats de l'autorité de certification organisationnelle

Il est recommandé de sauvegarder la clé privée et les certificats de votre autorité de certification organisationnelle en cas d'échec irrécupérable du serveur hôte de l'autorité de certification organisationnelle. Dans ce cas, le fichier de sauvegarde vous permettra de restaurer votre autorité de certification organisationnelle sur n'importe quel serveur de l'arborescence.

REMARQUE :la sauvegarde d'une autorité de certification organisationnelle n'est possible que pour les autorités de certification organisationnelle créées avec la version 9.0 (ou version ultérieure) de NetIQ Certificate Server. Dans les versions précédentes de NetIQ Certificate Server, la clé privée de l'autorité de certification organisationnelle était créée de manière à rendre toute exportation impossible.

Le fichier de sauvegarde contient la clé privée de l'autorité de certification, un certificat auto-signé, un certificat de clé publique et plusieurs autres certificats nécessaires à son fonctionnement. Ces informations sont stockées au format PKCS#12 (également appelé PFX).

L'autorité de certification organisationnelle doit être sauvegardée lorsqu'elle fonctionne correctement.

Pour sauvegarder l'autorité de certification organisationnelle, procédez comme suit :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. Cliquez sur l'onglet Certificats.

  3. Sélectionnez l'option Self Signed Certificate (Certificat auto-signé) ou Public Key Certificate (Certificat de clé publique). Les deux certificats sont inscrits dans le fichier lors de l'opération de sauvegarde. Il est recommandé de sélectionner le certificat auto-signé pour les certificats RSA et ECDSA séparément.

  4. Cliquez sur l'icône .

  5. Choisissez d'exporter la clé privée, spécifiez un mot de passe comportant 6 caractères alphanumériques ou plus à utiliser pour chiffrer le fichier PFX, sélectionnez le format d'exportation PKCS12, puis cliquez sur OK.

  6. Le fichier de sauvegarde chiffré est inscrit à l'emplacement spécifié. Il peut à présent être stocké à un emplacement sécurisé pour pouvoir être utilisé en cas d'urgence.

17.1.3 Restauration d'une autorité de certification organisationnelle

Si l'objet Autorité de certification organisationnelle a été supprimé ou altéré, ou si le serveur hôte de l'autorité de certification organisationnelle a connu un échec irrérupérable, le bon fonctionnement de l'autorité de certification organisationnelle peut être restauré à l'aide d'un fichier de sauvegarde créé conformément aux indications de la section Sauvegarde des certificats de l'autorité de certification organisationnelle.

Pour restaurer l'autorité de certification organisationnelle, procédez comme suit :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. Dans la partie supérieure de l'écran (en regard de Gestion des autorités de certification), cliquez sur pour supprimer l'autorité de certification organisationnelle existante.

  3. Vous êtes à présent invité à configurer une nouvelle autorité de certification organisationnelle. La boîte de dialogue de création d'un objet Autorité de certification organisationnelle et l'Assistant qui crée cet objet apparaissent.

  4. Dans la boîte de dialogue de création, spécifiez le serveur qui doit héberger l'autorité de certification organisationnelle et le nom de l'objet Autorité de certification organisationnelle.

  5. Sélectionnez Importer.

  6. Sélectionnez les certificats RSA et ECDSA. NetIQ Certificate Server exige que les deux certificats portent le même nom d'objet. Novell Certificate Server ne prend cependant pas en charge l'importation de certificats d'autorité de certification auto-signés externes. Toutefois, il vous permet d'importer les certificats d'autorité de certification subordonnée.

  7. Dans les écrans suivants, recherchez et sélectionnez le nom du fichier RSA et ECDSA.

  8. Entrez le mot de passe qui a servi à chiffrer le fichier lors de la sauvegarde, puis cliquez sur OK.

  9. La clé privée et les certificats de l'autorité de certification organisationnelle ont à présent été restaurés et l'autorité de certification est totalement opérationnelle. Le fichier peut maintenant être enregistré à nouveau pour une utilisation ultérieure.

17.1.4 Validation des certificats de l'autorité de certification organisationnelle

Si vous suspectez la présence d'un problème lié à un certificat ou que vous pensez qu'il n'est peut-être plus valide, vous pouvez facilement le valider à l'aide d'Identity Console. Tous les certificats de l'arborescence eDirectory peuvent être validés, y compris ceux émis par des autorités de certification externes.

Le processus de validation des certificats comprend plusieurs vérifications des données contenues dans le certificat, ainsi que des données de la chaîne de certificats. Une chaîne de certificats est constituée d'un certificat d'autorité de certification racine et, éventuellement, de certificats d'une ou plusieurs autorités de certification intermédiaires.

Pour valider un certificat :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. Cliquez sur l'onglet Certificats.

  3. Sélectionnez l'option Self Signed Certificate (Certificat auto-signé) ou Public Key Certificate (Certificat de clé publique).

  4. Cliquez sur pour valider le certificat sélectionné de l'autorité de certification.

17.1.5 Remplacement d'un certificat de l'autorité de certification organisationnelle

Si un certificat est endommagé ou non valide pour quelque raison que ce soit ou si vous souhaitez simplement remplacer le certificat existant, suivez la procédure ci-dessous :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. Cliquez sur l'onglet Certificats.

  3. Sélectionnez l'option Self Signed Certificate (Certificat auto-signé) ou Public Key Certificate (Certificat de clé publique).

  4. Cliquez sur pour remplacer le certificat sélectionné de l'autorité de certification.

  5. Importez un certificat de l'autorité de certification au format .pfx ou .p12 et spécifiez un mot de passe pour chiffrer la clé privée.

  6. Cliquez sur OK.

17.1.6 Révocation d'un certificat de l'autorité de certification organisationnelle

Pour révoquer un certificat, procédez comme suit :

  1. Sur la page de renvoi d'Identity Console, cliquez sur Gestion des certificats > Gestion de l'autorité de certification.

  2. Cliquez sur l'onglet Certificats.

  3. Sélectionnez l'option Self Signed Certificate (Certificat auto-signé) ou Public Key Certificate (Certificat de clé publique).

  4. Cliquez sur l'icône .

  5. Prenez connaissance des risques associés à la révocation des certificats de serveur.

  6. Sélectionnez un motif de révocation valide dans la liste déroulante, sélectionnez la date de fin de validité, puis indiquez tout autre commentaire.

  7. Cliquez sur OK pour terminer la révocation.

Figure 17-1 Gestion de l'autorité de certification