Gestion de clés et de certificats
Utilisez ces procédures pour gérer les clés et les certificats dans l'Agent de gestion des clés de Reflection.
Ajout de clés à l'Agent de gestion des clés
Vous pouvez ajouter des clés à l'Agent de gestion des clés en générant des clés avec l'Agent ou en important les clés que vous avez créées à l'aide de votre application Rocket Software ou d'autres applications. Les clés créées à l'aide de l'Agent de gestion des clés sont enregistrées par l'agent sous forme chiffrée et sont accessibles uniquement en utilisant l'Agent de gestion des clés. Les clés créées à l'aide de la boîte de dialogue Paramètres de Reflection Secure Shell sont enregistrées dans votre dossier personal-documents-folder\Micro Focus\nom_produit\.ssh
. Lorsque vous importez une clé dans l'agent de gestion des clés, la clé importée est enregistrée dans l'agent sous forme chiffrée. La clé d'origine reste disponible jusqu'à ce que vous la supprimiez.
Pour générer une nouvelle paire de clés à l'aide de l'Agent de gestion des clés
-
Démarrez et déverrouillez l'Agent de gestion des clés.
-
Sélectionnez Générer une clé.
-
Spécifiez un nom, un type et une longueur de clé, puis sélectionnez OK.
Pour générer une nouvelle paire de clés à l'aide de votre application Rocket Software
-
Ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell
-
Dans le menu latéral, sélectionnez Clés utilisateur. Sélectionnez l'icône Générer ().
-
Spécifiez un nom, un type et une longueur de clé. (Cliquez sur le bouton Parcourir pour spécifier le nom ou l'emplacement de la clé, autre que celui par défaut).
-
Spécifiez une phrase de chiffrement ou sélectionnez Aucune phrase de chiffrement.
-
Sélectionnez Créer.
Pour importer une clé privée dans l'Agent de gestion des clés
-
Démarrez et déverrouillez l'Agent de gestion des clés.
-
Dans le menu Fichier, sélectionnez Importer une clé privée.
-
Sélectionnez la clé à ajouter. L'emplacement par défaut des clés que vous créez à l'aide de votre application Rocket Software est le suivant :
personal_documents_folder\Micro Focus\nom_produit\.ssh
Par exemple :
C:\users\joe\documents\Micro Focus\nom_produit\.ssh
L'agent ouvre ce dossier par défaut lorsque vous sélectionnez Importer une clé privée. Chaque paire de clés comprend deux fichiers : l'un avec une extension
*.pub
et l'autre sans extension de fichier. La clé privée est le fichier sans extension. -
Si la clé est protégée par une phrase de chiffrement, vous devez entrer correctement cette phrase avant d'importer la clé.
Une fois importée, la clé est protégée par la phrase de chiffrement de l'Agent de gestion des clés. La clé et la phrase de chiffrement d’origine restent inchangées.
Informations supplémentaires
Téléchargement des clés sur le serveur
L’authentification des clés Secure Shell utilise une paire de clés publique/privée. La clé publique doit être ajoutée aux clés autorisées sur un hôte avant que vous ne puissiez vous authentifier sur cet hôte grâce à la paire de clés. Vous pouvez utiliser l'Agent de gestion des clés pour faciliter le téléchargement. L’agent détermine automatiquement le type de serveur Secure Shell exécuté sur l’hôte spécifié, exporte votre clé publique en utilisant le type de clé correct pour cet hôte et l’installe (en utilisant SFTP) à l’emplacement approprié pour l’utilisateur spécifié.
La clé publique est transférée à l'aide du protocole SFTP sécurisé. Vous devez pouvoir utiliser l'authentification par mot de passe afin de télécharger la clé publique.
Pour télécharger la clé publique vers le serveur
-
Démarrez et déverrouillez l'Agent de gestion des clés.
-
Sélectionnez la clé que vous souhaitez utiliser pour l’authentification sur le serveur, puis cliquez sur Télécharger.
-
Entrez le nom de l'hôte pour lequel vous téléchargez la clé. (Dans la plupart des cas, vous pouvez laisser la zone Section pour config SSH vide. L'Agent de gestion des clés établit une connexion Secure Shell avec l'hôte pour télécharger la clé. La Section pour config SSH spécifiée détermine les paramètres SSH utilisés pour cette connexion.) Cliquez sur OK.
-
A l'invite, entrez le nom et le mot de passe de l'utilisateur qui s'authentifiera à l'hôte à l'aide de cette clé.
Une fois que la connexion sécurisée à l'hôte a été établie, une boîte de dialogue s'ouvre et affiche des informations sur l'emplacement de l'hôte auquel votre application Rocket Software téléchargera cette clé. Dans la plupart des cas, vous ne devrez pas modifier ces paramètres. Reportez-vous aux remarques ci-dessous pour plus d'informations.
remarque
- Le bouton Télécharger n'est pas disponible si l'agent de gestion des clés est verrouillé.
- La boîte de dialogue Téléchargement de clé(s) publique(s) affiche des informations sur le transfert. Cliquez sur OK pour fermer cette boîte de dialogue.
- Les clés téléchargées vers des hôtes exécutant des serveurs Reflection for Secure IT, F-Secure et SSH Communications (SSH Tectia) sont exportées au format SECSH. Par défaut, elles sont placées dans le répertoire utilisateur
.ssh2
et une entréeKEY
appropriée est créée dans le fichier d'autorisation
. Si ce fichier n'existait pas précédemment, il est créé et les permissions de fichiers appropriées lui sont attribuées. - Les clés téléchargées vers des hôtes exécutant des serveurs OpenSSH sont exportées à l'aide du format OPENSSH. Par défaut, elles sont ajoutées au fichier
authorized_keys
situé dans le répertoire.ssh2
de l'utilisateur. Si ce fichier n'existait pas précédemment, il est créé et les permissions de fichiers appropriées lui sont attribuées.
Importation de clés dans l'Agent de gestion des clés
- Sélectionnez Fichier > Importer une clé privée.
remarque
L'option Importer une clé privée n'est pas disponible si l'agent de gestion des clés est verrouillé.
Après l'importation, la clé initiale reste à l'emplacement d'origine. Une copie est ajoutée sous forme chiffrée à l'agent. Si la clé importée est chiffrée à l'aide d'une phrase de chiffrement, vous êtes invité à saisir cette dernière.
Informations supplémentaires
Importation de certificats dans l'Agent de gestion des clés
-
Démarrez et déverrouillez l'Agent de gestion des clés.
-
Dans le menu Fichier, sélectionnez Importer un certificat depuis \<emplacement de stockage>
. Tous les certificats actuellement disponibles dans la liste de certificats sélectionnée s'affichent.
-
Sélectionnez le certificat que vous souhaitez importer, puis sélectionnez OK.
Exportation de clés publiques
Vous pouvez exporter des clés publiques en texte normal à partir de clés enregistrées dans l'Agent de gestion des clés de Reflection.
Pour exporter une clé publique en texte normal
-
Sélectionnez la clé publique à exporter.
-
Sélectionnez Fichier > Exporter une clé publique.
L’agent exporte la clé publique pour la clé actuellement sélectionnée.
remarque
Par défaut, l'agent de gestion des clés exporte les clés dans le format natif de votre application Rocket Software.
-
(Facultatif) Sélectionnez Enregistrer au format OpenSSH pour enregistrer au format utilisé par les serveurs OpenSSH.
remarque
- Si vous souhaitez télécharger une clé publique sur un serveur Secure Shell, vous pouvez utiliser le bouton Télécharger afin d'effectuer cette action en une seule étape. Il n'est pas nécessaire de commencer par exporter la clé publique. L'utilitaire de téléchargement détermine automatiquement le format de clé correct pour le serveur que vous spécifiez.
- L'option Exporter une clé publique n'est pas disponible si l'agent de gestion des clés est verrouillé.
Permettre l'ajout de clés à distance
Vous pouvez configurer votre application Rocket Software de manière à ce que les clés soient ajoutées automatiquement à l'Agent de gestion des clés lorsque vous les ajoutez à un hôte distant.
Pour activer cette fonctionnalité
-
Dans le menu Options de l'Agent de gestion des clés, sélectionnez Permettre l'ajout de clés à distance.
-
Ouvrez la boîte de dialogue Paramètres de Secure Shell.
-
Dans le menu latéral, sélectionnez Clés utilisateur, puis Autoriser le transfert d'agent.
remarque
Le transfert d'agent doit aussi être activé sur l'hôte.
Permettre la suppression de clés à distance
Vous pouvez configurer votre application Rocket Software de manière à ce que les clés soient supprimées automatiquement de l'Agent de gestion des clés Reflection lorsque vous les supprimez d'un hôte distant.
Pour activer cette fonctionnalité
-
Dans le menu Options de l'Agent de gestion des clés, sélectionnez Permettre la suppression de clés à distance.
-
Ouvrez la boîte de dialogue Paramètres de Secure Shell.
-
Dans le menu latéral, sélectionnez Clés utilisateur, puis Autoriser le transfert d'agent.
remarque
Le transfert d'agent doit aussi être activé sur l'hôte.
Confirmation des opérations à distance relatives aux clés privées
Vous pouvez configurer l'Agent de gestion des clés pour qu'il demande confirmation chaque fois qu'une connexion est établie à l'aide d'une clé de l'Agent.
Pour configurer les opérations à distance relatives aux clés privées
-
Dans le menu Options de l'Agent de gestion des clés, sélectionnez ou décochez Confirmer les opérations à distance relatives aux clés privées.
L'Agent de gestion des clés affiche une boîte de dialogue de confirmation chaque fois qu'une connexion est établie à l'aide d'une clé de l'Agent. Lorsque cette option est décochée, l'échange de clés s'effectue en arrière-plan et la connexion s'établit sans demande de confirmation.
Limitation des signatures RSA à SHA1
Pour des raisons de compatibilité avec les anciens serveurs, vous pouvez configurer l'agent afin qu'il n'inclue que les signatures RSA qui utilisent SHA1 lors de la réponse à la requête d'identités de l'agent.
remarque
Il est possible que le transfert d'agent vers certains serveurs ne soit pas pris en charge lorsque cette option est désactivée en raison de la longueur du délai de réponse à la demande de génération de la liste.
Boîte de dialogue Générer une clé
Procédure d'accès
- Lancez l'agent de gestion des clés.
- Sélectionnez Générer une clé.
L’authentification des clés Secure Shell utilise une paire de clés publique/privée. Cette boîte de dialogue vous permet de créer une paire de clés et de l'ajouter à l'Agent de gestion des clés. Lorsque vous générez des clés à l’aide de l’Agent de gestion des clés, la clé privée est toujours conservée sous forme chiffrée. Elle est destinée à l’utilisation de l’Agent de gestion des clés de Reflection uniquement.
Les options sont les suivantes :
Nom | Saisissez un nom pour identifier cette clé. |
Type | Spécifie l'algorithme utilisé pour la génération de clés. |
Longueur | Spécifie la taille de la clé. Une clé dont la taille est grande améliore la sécurité dans une certaine mesure. Augmenter la taille de la clé ralentit la connexion initiale, mais n'a aucun effet sur la vitesse de chiffrement ou de déchiffrement du flux de données une fois la connexion établie. La taille de clé à utiliser dépend de nombreux facteurs, et notamment le type de clé, sa durée de vie, la valeur des données protégées, les ressources dont dispose un éventuel pirate, ainsi que la taille de la clé symétrique utilisée conjointement à la clé asymétrique. Pour faire le bon choix en fonction de vos besoins, nous vous conseillons de contacter votre responsable de la sécurité informatique. |
remarque
Seules les clés publiques peuvent être exportées depuis l'agent.