Pour configurer l'authentification des hôtes du client à l'aide de certificats, vous devez installer et configurer le Gestionnaire de services d'infrastructure de clés publiques Reflection. Utilisez la procédure suivante pour commencer. Plusieurs cas sont possibles. Pour plus d'informations sur chacune des étapes ci-dessous, reportez-vous au guide de l'utilisateur du Gestionnaire de services d'infrastructure de clés publiques de Reflection, disponible à partir de la console du Gestionnaire de services d'infrastructure de clés publiques et à l'adresse suivante :http://support.attachmate.com/manuals/pki.html.
Préparatifs
Installez le Gestionnaire de services d'infrastructure de clés publiques.
Définissez quels sont les certificats approuvés par l'autorité de certification et les certificats intermédiaires nécessaires pour valider le certificat utilisé par l'hôte auquel vous vous connectez. Le Gestionnaire de services d'infrastructure de clés publiques peut utiliser des fichiers de certificat que vous copiez sur votre système ou des certificats racine approuvés, installés dans la liste de certificats Windows pour être utilisés par l'ordinateur local.
Déterminez la façon dont la vérification de la révocation des certificats doit être gérée pour le certificat hôte. Vous pouvez configurer le Gestionnaire de services d'infrastructure de clés publiques de façon à ce qu'il utilise des listes CRL et des serveurs OCSP ou qu'il contacte un point de distribution CRL spécifié dans le certificat.
Pour installer le Gestionnaire de services d'infrastructure de clés publiques
Connectez-vous en tant qu'administrateur sur l'ordinateur exécutant le Gestionnaire de services d'infrastructure de clés publiques.
Démarrez la console du Gestionnaire de services d'infrastructure de clés publiques.
Tous les programmes > Attachmate Reflection > Utilitaires > PKI Services Manager
Placez une copie du ou des certificats que vous voulez désigner comme certificat approuvé dans votre liste de certificats. Par exemple :
C:\ProgramData\Attachmate\ReflectionPKI\local-store
(Cette étape n'est pas obligatoire si vous utilisez des certificats du magasin Windows ou si avez une copie du certificat approuvé disponible à un autre emplacement dans le système.)
Dans le volet Trusted Chain, ajoutez le certificat approuvé (ou les certificats) dans la liste des certificats approuvés.
Pour utiliser cette liste |
Procédure |
---|---|
Votre liste de certificats locale ou un fichier de certificats sur votre système |
Cliquez sur Ajouter. Sélectionnez Local store certificate (Certificat de liste locale) ou Certificate file (Fichier de certificat), cliquez sur Browse (Parcourir), puis sélectionnez votre certificat approuvé. |
La liste de certificats Windows |
Sous Search order to use when building path to trust anchor, sélectionnez Windows certificate store. Cliquez sur Ajouter. À partir de la boîte de dialogue Add Trust Anchor, sélectionnez Windows certificate, puis cliquez sur Browse pour sélectionner un certificat disponible. REMARQUE :Le gestionnaire de services d'infrastructure de clés publiques utilise uniquement les certificats installés pour être utilisés par l'ordinateur local (et non pas les certificats installés pour l'utilisateur actuel) et qui sont situés soit dans la liste racine d'autorités de certification approuvées, soit dans la liste d'autorités intermédiaires approuvées. Pour visualiser et gérer les certificats de l'ordinateur local, utilisez Microsoft Management Console. Ajoutez le composant logiciel enfichable des certificats et configurez-le pour gérer les certificats du compte de l'ordinateur. |
Dans le volet Revocation, configurez la vérification de la révocation des certificats.
REMARQUE :Par défaut, le Gestionnaire de services d'infrastructure de clés publiques recherche des CRL dans la liste locale. Lorsque vous utilisez cette configuration, vous devez copier les CRL dans votre liste locale.
Dans le volet de mappage des identités, cliquez sur Add (Ajouter) pour déterminer quels hôtes client peuvent s'authentifier avec un certificat valide.
Par exemple, pour autoriser des hôtes client à se connecter si le nom de l'hôte est spécifié dans la valeur Common Name (Nom commun) du champ Subject (Sujet) du certificat :
Définissez Select type of certificate that is to be mapped (Sélectionner le type de certificat à associer) sur Host Certificate (Certificat hôte).
Cliquez sur la flèche de déroulement correspondant à l'option Choose certificate identity to insert (Choisir l'identité de certificat à insérer), puis et sélectionnez Subject Common Name (Nom commun de sujet).
Reportez-vous à la documentation du Gestionnaire de services d'infrastructure de clés publiques pour obtenir des informations supplémentaires sur les règles de définition.
Cliquez sur Fichier > Enregistrer.
Démarrez le service Gestionnaire de services d'infrastructure de clés publiques, s'il n'est pas encore exécuté. Si le service est déjà exécuté, rechargez vos paramètres (Server (Serveur) > Reload (Recharger)).
Rubriques connexes