Aller au contenu

Configuration du Gestionnaire de services d'infrastructure de clés publiques sous Windows

Pour configurer l'authentification des hôtes du client à l'aide de certificats, vous devez installer et configurer le Reflection PKI Services Manager. Utilisez la procédure suivante pour commencer. Plusieurs cas sont possibles. Pour plus d'informations sur chacune des étapes ci-dessous, reportez-vous au Guide de l'utilisateur du Reflection PKI Services Manager, disponible à partir de la console PKI Services Manager et à l'adresse suivante : http://support.attachmate.com/manuals/pki.html.

Préparatifs

  • Installez le PKI Services Manager.

  • Définissez quels sont les certificats approuvés par l'autorité de certification et les certificats intermédiaires nécessaires pour valider le certificat utilisé par l'hôte auquel vous vous connectez. Le PKI Services Manager peut utiliser des fichiers de certificat que vous copiez sur votre système ou des certificats racine approuvés, installés dans le magasin de certificats Windows pour être utilisés par l'ordinateur local.

  • Déterminez la façon dont la vérification de la révocation des certificats doit être gérée pour le certificat hôte. Vous pouvez configurer le PKI Services Manager pour utiliser des listes CRL, des serveurs OCSP ou pour contacter un point de distribution CRL spécifié dans le certificat.

Pour configurer le Gestionnaire de services d'infrastructure de clés publiques

  1. Connectez-vous en tant qu'administrateur sur l'ordinateur exécutant le PKI Services Manager.

  2. Démarrez la console PKI Services Manager :

    Programmes > Attachmate Reflection > Utilitaires > Gestionnaire de services d'infrastructure de clés publiques

  3. Placez une copie du ou des certificats que vous voulez désigner comme certificat approuvé dans votre liste de certificats. Par exemple :

    C:\ProgramData\Attachmate\ReflectionPKI\local-store

    (Cette étape n'est pas obligatoire si vous utilisez des certificats du magasin Windows ou si avez une copie du certificat approuvé disponible à un autre emplacement dans le système.)

  4. Dans le volet Trusted Chain, ajoutez le certificat approuvé (ou les certificats) dans la liste des certificats approuvés.

    Pour utiliser cette liste Procédure
    Votre liste de certificats locale ou un fichier de certificats sur votre système Cliquez sur Ajouter. Sélectionnez Local store certificate (Certificat de magasin local) ou Certificate file (Fichier de certificat), cliquez sur Browse (Parcourir), puis sélectionnez votre certificat approuvé.
    Magasin de certificats Windows 1. Sous Search order to use when building path to trust anchor (Ordre de recherche à utiliser pour générer le chemin d'accès au certificat approuvé), sélectionnez « Windows certificate store » (Magasin de certificats Windows).
    2. Cliquez sur Add (Ajouter).
    3. À partir de la boîte de dialogue Add Trust Anchor (Ajouter un certificat approuvé), sélectionnez Windows certificate (Certificat Windows), puis cliquez sur Browse (Parcourir) pour sélectionner un certificat disponible.
    Remarque : le PKI Services Manager utilise uniquement les certificats installés pour être utilisés par l'ordinateur local (et non pas les certificats installés pour l'utilisateur actuel) et qui sont situés soit dans la liste racine d'autorités de certification approuvées, soit dans la liste d'autorités intermédiaires approuvées. Pour visualiser et gérer les certificats de l'ordinateur local, utilisez Microsoft Management Console. Ajoutez le composant logiciel enfichable des certificats et configurez-le pour gérer les certificats du compte de l'ordinateur.
  5. Dans le volet Revocation, configurez la vérification de la révocation des certificats.

    remarque

    Par défaut, le PKI Services Manager cherche des CRL dans le magasin local. Lorsque vous utilisez cette configuration, vous devez copier les CRL dans votre magasin local.

  6. Dans le volet de mappage des identités, cliquez sur Add (Ajouter) pour déterminer quels hôtes client peuvent s'authentifier avec un certificat valide.

    Par exemple, pour autoriser des hôtes client à se connecter si le nom de l'hôte est spécifié dans la valeur Common Name (Nom commun) du champ Subject (Sujet) du certificat :

    • Définissez Select type of certificate that is to be mapped (Sélectionner le type de certificat à associer) sur Host Certificate (Certificat hôte)..

    • Cliquez sur la flèche déroulante de la zone Choose certificate identity to insert (Choisir l'identité de certificat à insérer), puis sélectionnez Subject Common Name (Nom commun de sujet).

    Reportez-vous à la documentation relative au PKI Services Manager pour obtenir des informations supplémentaires sur les règles de définition.

  7. Cliquez sur File (Fichier) > Save (Enregistrer).

  8. Démarrez le service PKI Services Manager, s'il n'est pas en cours d'exécution. Si le service est déjà exécuté, rechargez vos paramètres (Server (Serveur) > Reload (Recharger)).

Informations supplémentaires