Pour configurer l'authentification des hôtes du client à l'aide de certificats, vous devez installer et configurer le Gestionnaire de services d'infrastructure de clés publiques Reflection. Utilisez la procédure suivante pour commencer. Plusieurs cas sont possibles. Pour plus d'informations sur chacune des étapes ci-dessous, reportez-vous au guide de l'utilisateur du Gestionnaire de services d'infrastructure de clés publiques de Reflection, disponible à partir de la console du Gestionnaire de services d'infrastructure de clés publiques et à l'adresse suivante :http://support.attachmate.com/manuals/pki.html.
Préparatifs
Installez le Gestionnaire de services d'infrastructure de clés publiques.
Obtenez le certificat approuvé de l'autorité de certification et tous les certificats intermédiaires nécessaires pour valider le certificat utilisé par l'hôte auquel vous vous connectez.
Déterminez la façon dont la vérification de la révocation des certificats doit être gérée pour le certificat hôte. Vous pouvez configurer le Gestionnaire de services d'infrastructure de clés publiques de façon à ce qu'il utilise des listes CRL et des serveurs OCSP ou qu'il contacte un point de distribution CRL spécifié dans le certificat.
Pour installer le Gestionnaire de services d'infrastructure de clés publiques
Connectez-vous en tant qu'utilisateur racine au serveur du Gestionnaire de services d'infrastructure de clés publiques.
Installez le Gestionnaire de services d'infrastructure de clés publiques.
Placez une copie du ou des certificats que vous voulez désigner comme certificat approuvé dans votre liste de certificats. La liste par défaut du Gestionnaire de services d'infrastructure de clés publiques se trouve à l'emplacement suivant :
/opt/microfocus/pkid/ local-store
Ouvrez le fichier de configuration du Gestionnaire de services d'infrastructure de clés publiques dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :
/opt/attachmate/pkid/ config/pki_config
Utilisez le mot-clé TrustAnchor pour identifier votre certificat approuvé. Par exemple :
TrustAnchor = trustedca.crt
-ou-
TrustAnchor = CN=SecureCA,O=Acme,C=US
REMARQUE :Pour configurer plusieurs certificats approuvés, ajoutez des lignes TrustAnchor supplémentaires.
Configurez la vérification de la révocation des certificats. Par exemple :
À |
Exemple de configuration |
---|---|
Utiliser des listes CRL enregistrées sur un serveur LDAP. |
RevocationCheckOrder = crlserver CRLServers=ldap://crlserver |
Utiliser un serveur OCSP. |
RevocationCheckOrder = ocsp OCSPResponders = http://ocspresponder |
REMARQUE :Par défaut, le Gestionnaire de services d'infrastructure de clés publiques recherche des CRL dans la liste locale. Lorsque vous utilisez cette configuration, vous devez copier les CRL dans votre liste locale.
Si des certificats intermédiaires sont requis par la chaîne d'approbation de vos certificats, configurez l'accès à ces certificats. Par exemple :
À |
Exemple de configuration |
---|---|
Utiliser les certificats intermédiaires que vous avez ajoutés à votre liste locale. |
CertSearchOrder=local |
Utiliser des certificats enregistrés sur un serveur LDAP. |
CertSearchOrder=certserver CertServers=ldap://ldapserver |
Enregistrez vos modifications dans le fichier de configuration.
Ouvrez le fichier de mappage du Gestionnaire de services d'infrastructure de clés publiques dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :
/opt/attachmate/pkid/ config/pki_mapfile
Ajoutez au moins une règle pour déterminer quels hôtes client peuvent s'authentifier avec un certificat valide. Par exemple, pour autoriser des hôtes client à se connecter si le nom de l'hôte est spécifié dans la valeur Nom commun du champ Sujet du certificat :
RuleType = host {acme.com}
Testez la validité de la configuration du Gestionnaire de services d'infrastructure de clés publiques :
/usr/local/sbin/pkid -k
No errors. Configuration is valid:
redémarrez le Gestionnaire de services d'infrastructure de clés publiques.
/usr/local/sbin/pkid restart