| |
La configuration des transferts de données sécurisés à l'aide de ConsoleOne inclut les tâches suivantes :
Les objets Matériel clé (KMO) sont utilisés dans eDirectory pour stocker les données de certificat et de clés publique et privée. Vous devez créer au moins deux KMO (un par arborescence) pour utiliser le pilote DirXML pour eDirectory. Si vous souhaitez bénéficier d'une sécurité accrue, vous pouvez spécifier deux KMO par arborescence. Pour utiliser le certificat d'une arborescence dans une autre arborescence, vous devez exporter le certificat de racine approuvée de l'autorité de certification de la première arborescence en vue de son utilisation dans la deuxième arborescence.
Le nom de paire de clés d'un KMO est inclus dans le nom d'objet eDirectory qui figure avant le tiret (-). La partie du nom d'objet qui figure après le tiret correspond au nom du serveur eDirectory auquel appartient le KMO. Lorsque vous utilisez le nom d'un KMO pour la configuration du pilote, veillez à toujours utiliser le nom de paire de clés. Par exemple, si le nom de l'objet eDirectory est Cert Pilote - SRV1_TAO, le nom de paire de clés est Cert Pilote.
Dans ConsoleOne®, cliquez sur le conteneur Sécurité, puis cliquez avec le bouton droit de la souris sur l'objet Autorité de certification.
Cliquez sur Propriétés, puis sur Certificats-Certificat signé automatiquement.
Cliquez sur Exporter.
Cliquez sur Fichier au format DER binaire puis sur Exporter.
Si vous utilisez un seul KMO par arborescence, les deux extrémités d'un canal doivent s'authentifier à l'aide d'un certificat émis par une autorité de certification commune. Cela signifie que l'une des arborescences utilisera un certificat émis par l'autre arborescence. (Il est également possible d'utiliser des certificats signés par des autorités de certification non-eDirectory.)
Pour créer les KMO, authentifiez-vous auprès des deux arborescences eDirectory dans ConsoleOne, puis exécutez les procédures suivantes :
Exportation de la racine approuvée à l'aide de l'autorité de certification de la première arborescence.
Ce certificat doit être signé par l'autorité de certification de cette arborescence.
Ce certificat doit être signé par l'autorité de certification de la première arborescence.
REMARQUE : La paire d'objets KMO doit utiliser les mêmes tailles de clé RSA pour pouvoir communiquer.
Dans ConsoleOne, cliquez avec le bouton droit de la souris sur le conteneur qui contient l'objet Serveur eDirectory sur lequel le pilote DirXML sera exécuté.
Cliquez sur Nouveau > Objet.
Cliquez sur NDSPKI:Matériel clé, puis sur OK.
Spécifiez le nom de l'objet KMO.
Vérifiez que le bouton d'option Standard est sélectionné dans la zone Méthode de création, puis cliquez sur Suivant.
Vérifiez que les paramètres des certificats répondent à vos besoins, puis cliquez sur Terminer.
Dans ConsoleOne, cliquez avec le bouton droit de la souris sur le conteneur qui contient l'objet Serveur eDirectory sur lequel le pilote DirXML sera exécuté.
Cliquez sur Nouveau > Objet.
Cliquez sur NDSPKI:Matériel clé, puis sur OK.
Spécifiez le nom de l'objet KMO.
Cliquez sur Personnalisé, puis sur Suivant.
Cliquez sur Autorité de certification externe (pour indiquer que le certificat sera généré par la première arborescence), puis cliquez sur Suivant.
Spécifiez la taille de clé RSA (le cas échéant), puis cliquez sur Suivant.
Cliquez sur Suivant, puis sur Terminer pour générer une requête de signature de certificat (CSR).
Cliquez sur Presse-papiers système au format Base64 puis sur Enregistrer.
Cliquez sur l'objet Serveur eDirectory de la première arborescence, puis cliquez sur Outils et sur Émettre un certificat.
Collez le CSR créé à l'Etape 8 dans la fenêtre des CSR, puis cliquez sur Suivant.
Cliquez sur Suivant pour générer un certificat signé par l'autorité de certification de la première arborescence.
Cliquez sur SSL ou sur TLS pour indiquer que le certificat doit être utilisé pour l'authentification SSL, puis cliquez sur Suivant.
Spécifiez la période de validité souhaitée, puis cliquez sur Suivant.
Cliquez sur Terminer pour créer le certificat.
Cliquez sur Presse-papiers système au format Base64 puis sur Enregistrer.
Cliquez avec le bouton droit de la souris sur le KMO de la deuxième arborescence. Ensuite, cliquez sur Propriétés et sur Certificats-Certificat de clé publique.
Cliquez sur Importer.
Cliquez sur Lire à partir du fichier.
Entrez le nom de fichier du certificat de racine approuvée exporté depuis la première arborescence, puis cliquez sur Suivant.
Collez le certificat créé par l'autorité de certification de la première arborescence dans la fenêtre des certificats.
Cliquez sur Terminer.
L'utilisation de deux KMO par arborescence signifie que chaque canal (Abonné et Éditeur) peut effectuer une authentification SSL à l'aide de KMO signés par différentes autorités de certification. Le canal Abonné de la première arborescence et le canal Éditeur de la deuxième arborescence s'authentifient à l'aide de certificats émis par une autorité de certification commune ; le canal Éditeur de la première arborescence et le canal Abonné de la deuxième arborescence s'authentifient à l'aide de certificats émis par une autre autorité de certification commune.
L'utilisation de deux KMO par arborescence vous permet de bénéficier d'une sécurité accrue dans la mesure où le pilote ne peut être simulé que par l'obtention d'un certificat sur chaque arborescence.
Pour créer les KMO authentifiés auprès des deux arborescences eDirectory dans ConsoleOne :
Exportez le certificat de racine approuvée de la première arborescence à l'aide de l'autorité de certification de cette dernière.
Pour plus d'informations, reportez-vous à Exportation de la racine approuvée d'une arborescence.
Exportez le certificat de racine approuvée de la deuxième arborescence à l'aide de l'autorité de certification de cette dernière.
Pour plus d'informations, reportez-vous à Exportation de la racine approuvée d'une arborescence.
Dans la première arborescence, créez un certificat signé par l'autorité de certification de la première arborescence en vue d'une utilisation par le canal Abonné de cette dernière.
Dans la deuxième arborescence, créez un certificat signé par l'autorité de certification de la deuxième arborescence en vue d'une utilisation par le canal Abonné de cette dernière.
Dans la première arborescence, créez un certificat signé par l'autorité de certification de la deuxième arborescence en vue d'une utilisation par le canal Éditeur de la première arborescence.
Dans la deuxième arborescence, créez un certificat signé par l'autorité de certification de la première arborescence en vue d'une utilisation par le canal Éditeur de la deuxième arborescence.
Dans ConsoleOne, cliquez sur l'objet Conteneur qui contient l'objet Serveur eDirectory sur lequel le premier pilote DirXML sera exécuté.
Créez un KMO signé par l'autorité de certification de l'arborescence locale (dans ce cas, il s'agit de la première arborescence).
Pour plus d'informations, reportez-vous à Création du KMO de la première arborescence.
Dans la deuxième arborescence, cliquez sur l'objet Conteneur qui contient l'objet Serveur eDirectory sur lequel le deuxième pilote DirXML sera exécuté.
Créez un KMO signé par l'autorité de certification de l'arborescence locale (dans ce cas, il s'agit de la deuxième arborescence).
Pour plus d'informations, reportez-vous à Création du KMO de la première arborescence.
Dans ConsoleOne, cliquez sur l'objet Conteneur qui contient l'objet Serveur eDirectory de la première arborescence.
Créez un KMO signé par l'autorité de certification de l'arborescence distante (dans ce cas, il s'agit de la première arborescence).
Veillez à émettre le certificat signé par l'autorité de certification de la deuxième arborescence et à utiliser le certificat de racine approuvée de la deuxième arborescence lorsque vous importez le certificat créé dans le KMO.
Pour plus d'informations, reportez-vous à Création du KMO de la deuxième arborescence.
Dans la deuxième arborescence, cliquez sur l'objet Conteneur qui contient l'objet Serveur eDirectory sur lequel le premier pilote DirXML sera exécuté.
Créez un KMO signé par l'autorité de certification de l'arborescence distante (dans ce cas, il s'agit de la deuxième arborescence).
Veillez à émettre le certificat signé par l'autorité de certification de la première arborescence et à utiliser le certificat de racine approuvée de la première arborescence lorsque vous importez le certificat créé dans le KMO.
Pour plus d'informations, reportez-vous à Création du KMO de la deuxième arborescence.
| |